Attributi shadow del servizio Microsoft Entra Connessione Sync
La maggior parte degli attributi è rappresentata allo stesso modo in Microsoft Entra ID come si trovano nella Active Directory locale. Tuttavia, alcuni attributi hanno una gestione speciale e il valore dell'attributo in Microsoft Entra ID potrebbe essere diverso da quello che Microsoft Entra Connessione sincronizza.
Introduzione agli attributi shadow
Alcuni attributi hanno due rappresentazioni in Microsoft Entra ID. Vengono archiviati sia il valore locale che un valore calcolato. Questi attributi aggiuntivi sono chiamati attributi shadow. I due attributi più comuni in cui si può notare questo comportamento sono userPrincipalName e proxyAddress. Il motore di sincronizzazione in Microsoft Entra Connessione e la sincronizzazione cloud esporta il valore nell'attributo shadow e quindi Microsoft Entra ID elabora questo attributo per calcolare il valore finale. Il motore di sincronizzazione importa anche i valori dall'attributo shadow, quindi anche se il valore calcolato finale è diverso, dal punto di vista del motore di sincronizzazione, è in grado di confermare il valore originale esportato. Non è possibile visualizzare gli attributi shadow usando l'interfaccia di amministrazione di Microsoft Entra o con PowerShell, ma la comprensione di questo concetto consente di risolvere determinati scenari in cui l'attributo ha valori diversi in locale e nel cloud.
Per capire meglio questo comportamento, esaminare l'esempio seguente relativo a Fabrikam:
Hanno più suffissi UserPrincipalName (UPN) nel Active Directory locale, ma ne viene verificato solo uno in Microsoft Entra ID.
userPrincipalName
Un utente ha i valori di attributo seguenti in un dominio non verificato:
| Attributo | valore |
|---|---|
| userPrincipalName locale | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
L'attributo userPrincipalName è il valore che viene visualizzato quando si usa PowerShell.
Poiché il valore dell'attributo locale reale viene archiviato in Microsoft Entra ID, quando si verifica il dominio di fabrikam.com, Microsoft Entra ID aggiorna l'attributo userPrincipalName con il valore di shadowUserPrincipalName. Non è necessario sincronizzare le modifiche apportate da Microsoft Entra Connessione o sincronizzazione cloud per aggiornare questi valori.
proxyAddresses
Lo stesso processo per includere solo i domini verificati si verifica anche per proxyAddresses, ma con una logica aggiuntiva. Il controllo dei domini verificati avviene solo per gli utenti delle cassette postali. Un contatto o un utente abilitato alla posta elettronica rappresenta un utente in un'altra organizzazione di Exchange ed è possibile aggiungere qualsiasi valore in proxyAddresses a questi oggetti.
Per un utente della cassetta postale, in locale o in Exchange Online, vengono visualizzati solo i valori per i domini verificati. L'aspetto è simile al seguente:
| Attributo | valore |
|---|---|
| proxyAddresses locale | SMTP: smtp:abbie.spencer@fabrikamonline.com abbie.spencer@fabrikam.com smtp: smtp:abbie@fabrikamonline.com |
| proxyAddresses in Exchange Online | SMTP: smtp:abbie.spencer@fabrikamonline.com abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
In questo caso smtp :abbie.spencer@fabrikam.com è stato rimosso perché il dominio non è verificato. Ma Exchange ha anche aggiunto SIP:abbie.spencer@fabrikamonline.com. Fabrikam potrebbe non usare Lync/Skype for Business locale, ma Microsoft Entra ID ed Exchange Online prepararsi.
Questa logica per proxyAddresses è detta ProxyCalc. ProxyCalc viene richiamato con ogni modifica a un utente quando:
- L'utente ottiene un piano di servizio assegnato che include Exchange Online anche se l'utente non ha concesso la licenza per una cassetta postale di Exchange. Ad esempio, se all'utente viene assegnato lo SKU di Office E3, ma è selezionato solo il servizio SharePoint Online. Questa condizione è vera anche se la cassetta postale dell'utente è ancora locale.
- L'attributo msExchRecipientTypeDetails ha un valore.
- Viene apportata una modifica a proxyAddresses o userPrincipalName.
Il processo ProxyCalc sanifica un indirizzo se ShadowProxyAddresses contiene un dominio non verificato e l'utente ha una delle proprietà seguenti configurate.
- L'utente ha una licenza con un piano di tipo di servizio EXO abilitato (escluso MyAnalytics)
- L'utente ha impostato M edizione Standard xchRemoteRecipientType (non null)
- L'utente è considerato una risorsa condivisa
L'utente viene considerato una risorsa condivisa quando il relativo attributo CloudM edizione Standard xchRecipientDisplayType ha uno dei valori seguenti:
| Tipo di visualizzazione oggetto | Valore (decimale) |
|---|---|
| MailboxUser | 0 |
| Cartella pubblica | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| RoomList | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
Nota
CloudM edizione Standard xchRecipientDisplayType non è visibile dal lato Microsoft Entra ID e può essere visualizzato solo usando il cmdlet Get-Recipient di Exchange Online.
Esempio:
Get-Recipient admin | fl *type*
ProxyCalc potrebbe richiedere del tempo per elaborare una modifica in un utente e non è sincrono con il processo di esportazione di Microsoft Entra Connessione.
Nota
La logica ProxyCalc presenta alcuni comportamenti aggiuntivi per scenari avanzati non documentati in questo argomento. Questo argomento viene fornito per consentire all'utente di comprendere il comportamento e non per documentare l'intera logica interna.
Valori di attributo in quarantena
Gli attributi shadow vengono usati anche quando sono presenti valori di attributo duplicati. Per altre informazioni, vedere Resilienza degli attributi duplicati.