Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
大多数属性在 Microsoft Entra ID 中表示的方式与本地 Active Directory 中的属性相同。 但某些属性具有一些特殊处理,Microsoft Entra ID 中的属性值可能与Microsoft Entra Connect 同步的值不同。
介绍阴影属性
某些属性在 Microsoft Entra ID 中有两种表示形式。 同时存储本地值和计算值。 这些额外的属性称为阴影属性。 看到此行为的两个最常见属性是 userPrincipalName 和 proxyAddress。 Microsoft Entra Connect 和云同步中的同步引擎将该值导出到阴影属性,然后Microsoft Entra ID 处理此属性以计算最终值。 同步引擎还会从阴影属性导入值,因此,即使最终计算值不同于同步引擎的角度来看,它也能确认导出的原始值。 无法通过使用 Microsoft Entra 管理中心 或 PowerShell 查看影子属性,但理解这一概念有助于您在属性本地与云端值不一致时解决特定问题。
若要更好地了解行为,请查看 Fabrikam 中的此示例:
他们在本地 Active Directory 中具有多个 UserPrincipalName (UPN) 后缀,但在 Microsoft Entra ID 中只验证了一个。
userPrincipalName
用户在未验证的域中具有以下属性值:
| Attribute | 价值 |
|---|---|
| 本地部署 userPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra 用户主体名称 (userPrincipalName) | lee.sperry@fabrikam.partner.onmschina.cn |
userPrincipalName 属性是使用 PowerShell 时看到的值。
由于实际的本地属性值存储在 Microsoft Entra ID 中,因此在验证 fabrikam.com 域时,Microsoft Entra ID 使用 shadowUserPrincipalName 中的值来更新 userPrincipalName 属性。 无需同步来自 Microsoft Entra Connect 或云同步的任何更改,才能更新这些值。
代理地址
仅包括已验证域的相同过程也发生在 proxyAddresses 中,但具有一些额外的逻辑。 已验证域的检查仅针对邮箱用户进行。 启用邮件的用户或联系人表示另一个 Exchange 组织中的用户,你可以向这些对象添加 proxyAddresses 中的任何值。
对于本地或 Exchange Online 中的邮箱用户,仅显示已验证域的值。 它可能是这样的:
| Attribute | 价值 |
|---|---|
| 本地 proxyAddresses | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| Exchange Online 代理地址 | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
在这种情况下, smtp:abbie.spencer@fabrikam.com 已被删除,因为该域未验证。 但 Exchange 还添加了 SIP:abbie.spencer@fabrikamonline.com。 Fabrikam 可能未使用本地 Lync/Skype for Business,但Microsoft Entra ID 和 Exchange Online 为它做好准备。
proxyAddresses 的此逻辑称为 ProxyCalc。 每当用户有变更时,都会调用 ProxyCalc。
- 即使用户未获得 Exchange 邮箱的许可,用户也会获得包括 Exchange Online 的服务计划。 例如,如果用户分配了 Office E3 SKU,但仅选择了 SharePoint Online 服务。 即使用户的邮箱仍处于本地状态,此条件也是如此。
- 属性 msExchRecipientTypeDetails 具有值。
- 对 proxyAddresses 或 userPrincipalName 进行更改。
如果 ShadowProxyAddresses 包含非验证域,并且用户已配置以下属性之一,ProxyCalc 进程会清理地址。
- 用户已获得许可,其中启用了 Exchange Online 服务类型计划(不包括 Office 365 中的 Microsoft Bookings、MyAnalytics 和高级加密功能)
- 用户具有 MSExchRemoteRecipientType 集(非 null)
- 用户被视为共享资源
当用户的 CloudMSExchRecipientDisplayType 属性具有以下值之一时,该用户被视为共享资源:
| 对象显示类型 | 值(十进制) |
|---|---|
| MailboxUser | 0 |
| PublicFolder | 2 |
| 会议室邮箱 | 7 |
| EquipmentMailbox | 8 |
| 仲裁邮箱 | 10 |
| 房间列表 | 15 |
| TeamMailboxUser | 16 |
| 组邮箱 | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
注释
CloudMSExchRecipientDisplayType 在Microsoft Entra ID 端不可见,只能使用 Exchange Online cmdlet Get-Recipient 查看。
例:
Get-Recipient admin | fl *type*
ProxyCalc 可能需要一些时间来处理用户更改,并且与 Microsoft Entra Connect 导出过程不同步。
注释
ProxyCalc 逻辑对本主题中未记录的高级方案具有一些其他行为。 提供本主题是为了了解行为,而不是记录所有内部逻辑。
隔离的属性值
当存在重复的属性值时,也会使用阴影属性。 有关详细信息,请参阅 重复的属性复原能力。