Microsoft Entra 連線 Sync 服務陰影屬性
大部分屬性在 Microsoft Entra ID 中以與您內部部署的 Active Directory中的相同方式表示。 但有些屬性有一些特殊的處理,而且 Microsoft Entra ID 中的屬性值可能與 Microsoft Entra 連線同步處理的內容不同。
陰影屬性簡介
某些屬性在 Microsoft Entra ID 中有兩個標記法。 內部部署值和匯出值都會儲存。 這些額外的屬性稱為陰影屬性。 您看到此行為的兩個最常見屬性是 userPrincipalName 和 proxyAddress 。 當這些屬性中有代表未驗證定義域的值時,屬性值的變更就會發生。 但是連線中的同步處理引擎會讀取陰影屬性中的值,因此從其觀點來看,屬性已由 Microsoft Entra ID 確認。
您無法使用 Microsoft Entra 系統管理中心 或 PowerShell 來查看陰影屬性。 但瞭解概念可協助您針對屬性在內部部署和雲端中具有不同值的特定案例進行疑難排解。
若要進一步瞭解行為,請參閱 Fabrikam 的此範例:
他們在內部部署的 Active Directory中有多個 UPN 尾碼,但他們只驗證了一個。
userPrincipalName
使用者在未驗證的網域中具有下列屬性值:
| 屬性 | 值 |
|---|---|
| 內部部署 userPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
userPrincipalName 屬性是您使用 PowerShell 時看到的值。
因為實際的內部部署屬性值會儲存在 Microsoft Entra ID 中,當您驗證 fabrikam.com 網域時,Microsoft Entra ID 會使用 shadowUserPrincipalName 的值來更新 userPrincipalName 屬性。 您不需要同步處理來自 Microsoft Entra 連線的任何變更,這些值才能更新。
proxyAddresses
只有包含已驗證網域的相同程式也會針對 proxyAddresses 進行,但有一些額外的邏輯。 驗證網域的檢查只會針對信箱使用者進行。 啟用郵件的使用者或連絡人代表另一個 Exchange 組織中的使用者,而且您可以將 proxyAddresses 中的任何值新增至這些物件。
對於信箱使用者,無論是內部部署還是 Exchange Online 中,只會顯示已驗證網域的值。 看起來可能像這樣:
| 屬性 | 值 |
|---|---|
| 內部部署 ProxyAddresses | SMTP:smtp: abbie.spencer@fabrikamonline.com abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| Exchange Online ProxyAddresses | SMTP:smtp: abbie.spencer@fabrikamonline.com abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
在此情況下 ,smtp: abbie.spencer@fabrikam.com 已移除,因為該網域尚未驗證。 但 Exchange 也新增 了 SIP: abbie.spencer@fabrikamonline.com 。 Fabrikam 尚未使用 Lync/Skype 內部部署,但 Microsoft Entra ID 和 Exchange Online 會為其做好準備。
ProxyAddresses 的這個邏輯稱為 ProxyCalc 。 ProxyCalc 會在使用者上叫用每次變更時:
- 使用者已獲指派服務方案,包括 Exchange Online,即使使用者未獲得 Exchange 授權也一樣。 例如,如果使用者被指派 Office E3 SKU,但只獲指派 SharePoint Online。 即使您的信箱仍在內部部署,此條件也是如此。
- 屬性 msExchRecipientTypeDetails 具有值。
- 您變更 proxyAddresses 或 userPrincipalName。
如果 ShadowProxyAddresses 包含未驗證的網域,且雲端使用者已設定下列其中一個屬性,ProxyCalc 將會清理位址。
- 使用者已啟用 EXO 服務類型方案授權(不包括 MyAnalytics)
- 使用者具有 MSExchRemoteRecipientType set (非 Null)
- 使用者被視為共用資源
若要被視為共用資源,雲端使用者會在 CloudMSExchRecipientDisplayType 中設定下列其中一個值
| 物件顯示類型 | 值 (十進位) |
|---|---|
| MailboxUser | 0 |
| DistributionGroup | 1 |
| 公用資料夾 | 2 |
| DynamicDistributionGroup | 3 |
| Organization | 4 |
| PrivateDistributionList | 5 |
| RemoteMailUser | 6 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| MailboxPlan | 11 |
| LinkedUser | 12 |
| RoomList | 15 |
| SyncedMailboxUser | -2147483642 |
| SyncedUDGasUDG | -2147483391 |
| SyncedUDGasContact | -2147483386 |
| SyncedPublicFolder | -2147483130 |
| SyncedDynamicDistributionGroup | -2147482874 |
| SyncedRemoteMailUser | -2147482106 |
| SyncedConferenceRoomMailbox | -2147481850 |
| SyncedEquipmentMailbox | -2147481594 |
| SyncedUSGasUDG | -2147481343 |
| SyncedUSGasContact | -2147481338 |
| ACLableSyncedMailboxUser | -1073741818 |
| ACLableSyncedRemoteMailUser | -1073740282 |
| ACLableSyncedUSGasContact | -1073739514 |
| SyncedUSGasUSG | -1073739511 |
| SecurityDistributionGroup | 1043741833 |
| SyncedUSGasUSG | 1073739511 |
| ACLableSyncedUSGasContact | 1073739514 |
| RBAC 角色群組 | 1073741824 |
| ACLableMailboxUser | 1073741824 |
| ACLableRemoteMailUser | 1073741830 |
注意
CloudMSExchRecipientDisplayType 無法從 Microsoft Entra ID 端看見,而且只能使用 Exchange Online Cmdlet Get-Recipient 之類的專案來檢視。
範例:
Get-Recipient admin | fl *type*
ProxyCalc 可能需要一些時間來處理使用者的變更,而且與 Microsoft Entra 連線匯出程式不同步。
注意
ProxyCalc 邏輯對於本主題中未記載的進階案例有一些其他行為。 本主題可供您瞭解行為,而不會記錄所有內部邏輯。
隔離的屬性值
當有重複的屬性值時,也會使用陰影屬性。 如需詳細資訊,請參閱 重複的屬性復原 。