Omówienie aktualizacji zbiorczych użytkowników podczas zweryfikowanych zmian domeny

W tym artykule opisano typowy scenariusz, w którym dzienniki inspekcji wyświetlają wiele UserPrincipalName aktualizacji wyzwalanych przez zweryfikowaną zmianę domeny. W tym artykule opisano przyczyny i zagadnienia dotyczące aktualizacji userManagement w dziennikach inspekcji występujących podczas zweryfikowanych zmian domeny. Ten artykuł zawiera szczegółowe informacje na temat operacji zaplecza, która wyzwala zmiany masowego obiektu w identyfikatorze Entra firmy Microsoft.

Objawy

Dzienniki inspekcji firmy Microsoft Entra pokazują, że w mojej dzierżawie firmy Microsoft entra wystąpiło wiele aktualizacji użytkowników. Informacje o aktorze dla tych zdarzeń są puste lub są wyświetlane jako N/A.

Aktualizacje zbiorcze obejmują zmianę domeny dla UserPrincipalName zmienionej domeny z preferowanej domeny organizacji na domyślny *.onmicrosoft.com sufiks domeny.

Przykładowe szczegóły dziennika inspekcji

Data działania (UTC): 2022-01-27 07:44:05

Działanie: Aktualizowanie użytkownika

Typ aktora: inny

Aktor UPN: N/A

Stan: powodzenie

Kategoria: UserManagement

Usługa: katalog podstawowy

Identyfikator docelowy: aaaa-bbbb-0000-11111-bbbbbbbbbbbbb

Nazwa docelowa: user@contoso.com

Typ docelowy: użytkownik

W ramach pełnych szczegółów wpisu dziennika inspekcji poszukaj modifiedProperties sekcji. W tej sekcji przedstawiono zmiany wprowadzone w obiekcie użytkownika. Pola oldValue i newValue pokazują zmianę domeny.

"modifiedProperties":
  "displayName": "UserPrincipalName",
  "oldValue": "[\"user@contoso.onmicrosoft.com\"]",
  "newValue": "[\"user@contoso.com\"]"

Przyczyny

Jedną z typowych przyczyn zmian obiektu masowego jest brak synchronizacji operacji zaplecza. Ta operacja określa odpowiednie UserPrincipalName i proxyAddresses zaktualizowane w witrynie Microsoft Entra użytkownicy, grupy lub kontakty firmy Microsoft.

Cel tej operacji zaplecza gwarantuje, że atrybut UserPrincipalName i proxyAddresses są spójne w identyfikatorze Entra firmy Microsoft w dowolnym momencie. Jawna zmiana, taka jak zweryfikowana zmiana domeny, wyzwala tę operację.

Jeśli na przykład dodasz zweryfikowaną domenę Fabrikam.com do dzierżawy Contoso.onmicrosoft.com, ta akcja spowoduje wyzwolenie operacji zaplecza na wszystkich obiektach w dzierżawie. To zdarzenie jest przechwytywane w dziennikach inspekcji firmy Microsoft Entra jako Zdarzenia aktualizacji użytkownika poprzedzone zdarzeniem Dodaj zweryfikowaną domenę.

Jeśli Fabrikam.com została usunięta z dzierżawy Contoso.onmicrosoft.com, wszystkie zdarzenia Aktualizuj użytkownika są poprzedzone zdarzeniem Usuń zweryfikowaną domenę.

Rozwiązanie

Jeśli napotkasz ten problem, możesz skorzystać z korzystania z usługi Microsoft Entra Połączenie do synchronizowania danych między katalogiem lokalnym i identyfikatorem Entra firmy Microsoft. Ta akcja gwarantuje, że obiekty UserPrincipalName i proxyAddresses są spójne w obu środowiskach.

Podczas próby ręcznego dodawania lub konserwacji tych obiektów ryzyko wystąpienia innej operacji zaplecza wyzwalającej zmianę zbiorczą.

Zapoznaj się z następującymi artykułami, aby zapoznać się z tymi pojęciami:

• Microsoft Entra UserPrincipalName — populacja

• Jak atrybut proxyAddresses jest wypełniany w identyfikatorze Entra firmy Microsoft

Kwestie wymagające rozważenia

Ta operacja zaplecza nie powoduje zmian w niektórych obiektach, które:

• nie masz aktywnej licencji programu Microsoft Exchange
• właściwość ma MSExchRemoteRecipientType ustawioną wartość Null
• nie są traktowane jako zasób udostępniony

Zasób udostępniony jest wtedy, gdy CloudMSExchRecipientDisplayType zawiera jedną z następujących wartości:

• MailboxUser (udostępnione)
• PublicFolder
• ConferenceRoomMailbox
• EquipmentMailbox
• ArbitrationMailbox
• RoomList
• TeamMailboxUser
• GroupMailbox
• SchedulingMailbox
• ACLableMailboxUser
• ACLableTeamMailboxUser

Aby utworzyć większą korelację między tymi dwoma różnymi zdarzeniami, firma Microsoft pracuje nad aktualizowaniem informacji aktora w dziennikach inspekcji w celu zidentyfikowania tych zmian wyzwolonych przez zweryfikowaną zmianę domeny. Ta akcja pomaga sprawdzić, kiedy miało miejsce zweryfikowane zdarzenie zmiany domeny i zaczęło masowo aktualizować obiekty w dzierżawie.

W większości przypadków nie ma żadnych zmian dla użytkowników jako użytkowników UserPrincipalName i proxyAddresses są spójne, dlatego pracujemy nad wyświetlaniem tylko w dziennikach inspekcji tych aktualizacji, które spowodowały rzeczywistą zmianę obiektu. Ta akcja zapobiega szumowi w dziennikach inspekcji i pomaga administratorom skorelować pozostałe zmiany użytkowników ze zweryfikowanych zdarzeń zmiany domeny.

Szczegółowe informacje

Chcesz dowiedzieć się więcej o tym, co dzieje się za kulisami? Poniżej przedstawiono szczegółowe informacje na temat operacji zaplecza, która wyzwala zmiany masowego obiektu w identyfikatorze Entra firmy Microsoft. Przed rozpoczęciem pracy zapoznaj się z artykułem Microsoft Entra Połączenie Sync service shadow attributes (Atrybuty usługi synchronizacji w tle), aby poznać atrybuty w tle.

UserPrincipalName

W przypadku użytkowników korzystających tylko z chmury parametr UserPrincipalName jest ustawiony na zweryfikowany sufiks domeny. Po przetworzeniu niespójnej nazwy UserPrincipalName operacja konwertuje ją na domyślny sufiks onmicrosoft.com, na przykład: username@Contoso.onmicrosoft.com.

W przypadku zsynchronizowanych użytkowników parametr UserPrincipalName jest ustawiony na zweryfikowany sufiks domeny i odpowiada wartości ShadowUserPrincipalNamelokalnej . Gdy jest przetwarzana niespójna nazwa UserPrincipalName, operacja jest przywracana do tej samej wartości co ShadowUserPrincipalName lub w przypadku usunięcia sufiksu domeny z dzierżawy, konwertuje ją na domyślny *.onmicrosoft.com sufiks domeny.

ProxyAddresses

W przypadku użytkowników korzystających tylko z chmury spójność oznacza, że proxyAddresses jest zgodna ze zweryfikowanym sufiksem domeny. Po przetworzeniu niespójnego serwera proxyAddresses operacja zaplecza konwertuje ją na domyślny *.onmicrosoft.com sufiks domeny, na przykład: SMTP:username@Contoso.onmicrosoft.com.

W przypadku zsynchronizowanych użytkowników spójność oznacza, że atrybut proxyAddresses jest zgodny z lokalną wartością proxyAddresses (tj. ShadowProxyAddresses). Oczekuje się, że adresy proxy zostaną zsynchronizowane z elementami ShadowProxyAddresses. Jeśli zsynchronizowany użytkownik ma przypisaną licencję programu Exchange, wartości chmury i środowiska lokalnego muszą być zgodne. Te wartości muszą być również zgodne ze zweryfikowanym sufiksem domeny.

W tym scenariuszu operacja zaplecza oczyszcza niespójne adresy proxyAddresses z niezweryfikowanym sufiksem domeny i jest usuwana z obiektu w identyfikatorze Entra firmy Microsoft. Jeśli ta niezweryfikowana domena zostanie zweryfikowana później, operacja zaplecza zostanie ponownie skompilowana i doda adres proxyAddresses z elementu ShadowProxyAddresses z powrotem do obiektu w identyfikatorze Entra firmy Microsoft.

Uwaga

W przypadku zsynchronizowanych obiektów, aby uniknąć logiki operacji zaplecza przed obliczeniem nieoczekiwanych wyników, najlepiej ustawić wartość proxyAddresses na zweryfikowaną domenę firmy Microsoft w obiekcie lokalnym.

Następne kroki

Atrybuty w tle usługi Microsoft Entra Połączenie Sync