Atributos de sombra do serviço Microsoft Entra Connect Sync
A maioria dos atributos é representada da mesma forma no Microsoft Entra ID e no Ative Directory local. Mas alguns atributos têm alguma manipulação especial e o valor do atributo no Microsoft Entra ID pode ser diferente do que o Microsoft Entra Connect sincroniza.
Introdução aos atributos de sombra
Alguns atributos têm duas representações no Microsoft Entra ID. O valor local e um valor calculado são armazenados. Esses atributos extras são chamados de atributos de sombra. Os dois atributos mais comuns onde você vê esse comportamento são userPrincipalName e proxyAddress. A alteração nos valores de atributos acontece quando há valores nesses atributos representando domínios não verificados. Mas o mecanismo de sincronização no Connect lê o valor no atributo shadow e, de sua perspetiva, o atributo foi confirmado pelo Microsoft Entra ID.
Não é possível ver os atributos de sombra usando o centro de administração do Microsoft Entra ou com o PowerShell. Mas entender o conceito ajuda a solucionar problemas em determinados cenários em que o atributo tem valores diferentes no local e na nuvem.
Para entender melhor o comportamento, veja este exemplo da Fabrikam:
Eles têm vários sufixos UPN em seu Ative Directory local, mas verificaram apenas um.
userPrincipalName
Um usuário tem os seguintes valores de atributo em um domínio não verificado:
Atributo | valor |
---|---|
userPrincipalName local | lee.sperry@fabrikam.com |
Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
O atributo userPrincipalName é o valor que você vê ao usar o PowerShell.
Como o valor real do atributo local é armazenado no Microsoft Entra ID, quando você verifica o domínio fabrikam.com, o Microsoft Entra ID atualiza o atributo userPrincipalName com o valor do shadowUserPrincipalName. Não é necessário sincronizar quaisquer alterações do Microsoft Entra Connect para que estes valores sejam atualizados.
proxyAddresses
O mesmo processo para incluir apenas domínios verificados também ocorre para proxyAddresses, mas com alguma lógica extra. A verificação de domínios verificados só acontece para usuários de caixa de correio. Um usuário ou contato habilitado para email representa um usuário em outra organização do Exchange e você pode adicionar quaisquer valores em proxyAddresses a esses objetos.
Para um usuário de caixa de correio, local ou no Exchange Online, somente valores para domínios verificados aparecem. Pode ser assim:
Atributo | valor |
---|---|
proxyAddresses locais | SMTP:smtp:smtp:abbie.spencer@fabrikamonline.comabbie.spencer@fabrikam.comabbie@fabrikamonline.com |
Endereços proxy do Exchange Online | SMTP:smtp:SIP:abbie.spencer@fabrikamonline.comabbie@fabrikamonline.comabbie.spencer@fabrikamonline.com |
Neste caso , smtp: foi removido,abbie.spencer@fabrikam.com uma vez que esse domínio não foi verificado. Mas o Exchange também adicionou SIP:abbie.spencer@fabrikamonline.com. A Fabrikam não usou o Lync/Skype localmente, mas o Microsoft Entra ID e o Exchange Online se preparam para isso.
Essa lógica para proxyAddresses é conhecida como ProxyCalc. ProxyCalc é invocado com cada alteração em um usuário quando:
- O usuário recebeu um plano de serviço que inclui o Exchange Online, mesmo que o usuário não tenha sido licenciado para o Exchange. Por exemplo, se o usuário recebeu a SKU do Office E3, mas apenas foi atribuído o SharePoint Online. Essa condição é verdadeira mesmo se sua caixa de correio ainda estiver no local.
- O atributo msExchRecipientTypeDetails tem um valor.
- Você faz uma alteração para proxyAddresses ou userPrincipalName.
ProxyCalc limpará um endereço se ShadowProxyAddresses contiver um domínio não verificado e o usuário da nuvem tiver uma das seguintes propriedades configuradas.
- O usuário é licenciado com um plano de tipo de serviço EXO habilitado (excluindo MyAnalytics)
- O usuário tem MSExchRemoteRecipientType definido (não nulo)
- O usuário é considerado um recurso compartilhado
Para ser considerado um recurso compartilhado, o usuário da nuvem terá um dos seguintes valores definidos em CloudMSExchRecipientDisplayType
Tipo de exibição de objeto | Valor (Decimal) |
---|---|
MailboxUser | 0 |
Grupo de Distribuição | 1 |
PublicFolder | 2 |
DynamicDistributionGroup | 3 |
Organização | 4 |
PrivateDistributionList | 5 |
RemoteMailUser | 6 |
Sala de ConferênciaCaixa de Correio | 7 |
EquipamentoCaixa de correio | 8 |
ArbitragemCaixa de correio | 10 |
MailboxPlan | 11 |
LinkedUser | 12 |
Lista de quartos | 15 |
SyncedMailboxUser | -2147483642 |
SyncedUDGasUDG | -2147483391 |
SyncedUDGasContact | -2147483386 |
SyncedPublicFolder | -2147483130 |
SyncedDynamicDistributionGroup | -2147482874 |
SyncedRemoteMailUser | -2147482106 |
SyncedConferenceRoomMailbox | -2147481850 |
SyncedEquipmentMailbox | -2147481594 |
SyncedUSGasUDG | -2147481343 |
SyncedUSGasContact | -2147481338 |
ACLableSyncedMailboxUser | -1073741818 |
ACLableSyncedRemoteMailUser | -1073740282 |
ACLableSyncedUSGasContact | -1073739514 |
SyncedUSGasUSG | -1073739511 |
SecurityDistributionGroup | 1043741833 |
SyncedUSGasUSG | 1073739511 |
ACLableSyncedUSGasContact | 1073739514 |
Grupo de Funções RBAC | 1073741824 |
ACLableMailboxUser | 1073741824 |
ACLableRemoteMailUser | 1073741830 |
Nota
CloudMSExchRecipientDisplayType não é visível do lado da ID do Microsoft Entra e só pode ser exibido usando algo como o cmdlet Get-Recipient do Exchange Online.
Exemplo:
Get-Recipient admin | fl *type*
ProxyCalc pode levar algum tempo para processar uma alteração em um usuário e não é síncrono com o processo de exportação do Microsoft Entra Connect.
Nota
A lógica ProxyCalc tem alguns comportamentos adicionais para cenários avançados não documentados neste tópico. Este tópico é fornecido para você entender o comportamento e não documentar toda a lógica interna.
Valores de atributos em quarentena
Os atributos de sombra também são usados quando há valores de atributos duplicados. Para obter mais informações, consulte Resiliência de atributos duplicados.