Attributi shadow del servizio di sincronizzazione Azure AD ConnectAzure AD Connect sync service shadow attributes

La maggior parte degli attributi viene rappresentata allo stesso modo in Azure AD e nel servizio Active Directory locale.Most attributes are represented the same way in Azure AD as they are in your on-premises Active Directory. Tuttavia, alcuni attributi sono caratterizzati da una gestione speciale e il valore dell'attributo in Azure AD potrebbe essere diverso da quello sincronizzato in Azure AD Connect.But some attributes have some special handling and the attribute value in Azure AD might be different than what Azure AD Connect synchronizes.

Introduzione agli attributi shadowIntroducing shadow attributes

Alcuni attributi hanno due rappresentazioni in Azure AD.Some attributes have two representations in Azure AD. Vengono archiviati sia il valore locale che un valore calcolato.Both the on-premises value and a calculated value are stored. Questi attributi aggiuntivi sono chiamati attributi shadow.These extra attributes are called shadow attributes. I due attributi più comuni in cui si può notare questo comportamento sono userPrincipalName e proxyAddress.The two most common attributes where you see this behavior are userPrincipalName and proxyAddress. La modifica dei valori degli attributi avviene quando sono presenti valori in questi attributi che rappresentano domini non verificati.The change in attribute values happens when there are values in these attributes representing non-verified domains. Tuttavia, il motore di sincronizzazione in Connect legge il valore nell'attributo shadow, pertanto dal suo punto di vista l'attributo è stato confermato da Azure AD.But the sync engine in Connect reads the value in the shadow attribute so from its perspective, the attribute has been confirmed by Azure AD.

Non è possibile visualizzare gli attributi shadow usando il portale di Azure o con PowerShell.You cannot see the shadow attributes using the Azure portal or with PowerShell. Ma comprendere questo concetto sarà d'aiuto per risolvere determinati scenari in cui l'attributo presenta valori differenti in locale e nel cloud.But understanding the concept helps you to troubleshoot certain scenarios where the attribute has different values on-premises and in the cloud.

Per capire meglio questo comportamento, esaminare l'esempio seguente relativo a Fabrikam:To better understand the behavior, look at this example from Fabrikam:
Domini
Includono più suffissi UPN nel servizio Active Directory locale, ma ne è stato verificato solo uno.They have multiple UPN suffixes in their on-premises Active Directory, but they have only verified one.

userPrincipalNameuserPrincipalName

Un utente ha i seguenti valori di attributo in un dominio non verificato:A user has the following attribute values in a non-verified domain:

AttributoAttribute ValoreValue
userPrincipalName localeon-premises userPrincipalName lee.sperry@fabrikam.com
shadowUserPrincipalName in Azure ADAzure AD shadowUserPrincipalName lee.sperry@fabrikam.com
userPrincipalName in Azure ADAzure AD userPrincipalName lee.sperry@fabrikam.onmicrosoft.com

L'attributo userPrincipalName è il valore che viene visualizzato quando si usa PowerShell.The userPrincipalName attribute is the value you see when using PowerShell.

Dal momento che il valore dell'attributo locale reale è archiviato in Azure AD, quando si verifica il dominio fabrikam.com, Azure AD aggiorna l'attributo userPrincipalName con il valore di shadowUserPrincipalName.Since the real on-premises attribute value is stored in Azure AD, when you verify the fabrikam.com domain, Azure AD updates the userPrincipalName attribute with the value from the shadowUserPrincipalName. Non è necessario sincronizzare le modifiche apportate in Azure AD Connect perché questi valori vengano aggiornati.You do not have to synchronize any changes from Azure AD Connect for these values to be updated.

proxyAddressesproxyAddresses

Lo stesso processo per includere solo domini verificati si verifica anche per proxyAddresses, ma con una logica aggiuntiva.The same process for only including verified domains also occurs for proxyAddresses, but with some additional logic. Il controllo dei domini verificati avviene solo per gli utenti delle cassette postali.The check for verified domains only happens for mailbox users. Un contatto o un utente abilitato alla posta elettronica rappresenta un utente in un'altra organizzazione di Exchange ed è possibile aggiungere qualsiasi valore in proxyAddresses a questi oggetti.A mail-enabled user or contact represent a user in another Exchange organization and you can add any values in proxyAddresses to these objects.

Per un utente della cassetta postale, in locale o in Exchange Online, vengono visualizzati solo i valori per i domini verificati.For a mailbox user, either on-premises or in Exchange Online, only values for verified domains appear. L'aspetto è simile al seguente:It could look like this:

AttributoAttribute ValoreValue
proxyAddresses localeon-premises proxyAddresses SMTP:abbie.spencer@fabrikamonline.com
smtp:abbie.spencer@fabrikam.com
smtp:abbie@fabrikamonline.com
proxyAddresses in Exchange OnlineExchange Online proxyAddresses SMTP:abbie.spencer@fabrikamonline.com
smtp:abbie@fabrikamonline.com
SIP:abbie.spencer@fabrikamonline.com

In questo caso smtp:abbie.spencer@fabrikam.com è stato rimosso poiché tale dominio non è stato verificato.In this case smtp:abbie.spencer@fabrikam.com was removed since that domain has not been verified. Ma Exchange ha aggiunto anche SIP:abbie.spencer@fabrikamonline.com. Fabrikam non ha usato Lync/Skype in locale, ma Azure AD ed Exchange Online sono in fase di preparazione.But Exchange also added SIP:abbie.spencer@fabrikamonline.com. Fabrikam has not used Lync/Skype on-premises, but Azure AD and Exchange Online prepare for it.

Questa logica per proxyAddresses è detta ProxyCalc.This logic for proxyAddresses is referred to as ProxyCalc. ProxyCalc viene richiamato con ogni modifica a un utente quando:ProxyCalc is invoked with every change on a user when:

  • All'utente è stato assegnato un piano di servizio che include Exchange Online, anche se l'utente non disponeva della licenza per Exchange.The user has been assigned a service plan that includes Exchange Online even if the user was not licensed for Exchange. Ad esempio, se all'utente è assegnato lo SKU Office E3, ma è stato assegnato solo SharePoint Online.For example, if the user is assigned the Office E3 SKU, but only was assigned SharePoint Online. Questo vale anche se la cassetta postale dell'utente è ancora in locale.This is true even if your mailbox is still on-premises.
  • L'attributo msExchRecipientTypeDetails ha un valore.The attribute msExchRecipientTypeDetails has a value.
  • Viene apportata una modifica a proxyAddresses o userPrincipalName.You make a change to proxyAddresses or userPrincipalName.

ProxyCalc potrebbe richiedere del tempo per elaborare una modifica apportata a un utente e non è sincrono con il processo di esportazione di Azure AD Connect.ProxyCalc might take some time to process a change on a user and is not synchronous with the Azure AD Connect export process.

Nota

La logica ProxyCalc presenta alcuni comportamenti aggiuntivi per scenari avanzati non documentati in questo argomento.The ProxyCalc logic has some additional behaviors for advanced scenarios not documented in this topic. Questo argomento viene fornito per consentire all'utente di comprendere il comportamento e non per documentare l'intera logica interna.This topic is provided for you to understand the behavior and not document all internal logic.

Valori di attributo in quarantenaQuarantined attribute values

Gli attributi shadow vengono usati anche quando sono presenti valori di attributo duplicati.Shadow attributes are also used when there are duplicate attribute values. Per altre informazioni, vedere Resilienza degli attributi duplicati.For more information, see duplicate attribute resiliency.

Vedere ancheSee also