Atributos de sombra do serviço do Microsoft Entra Connect Sync
A maioria dos atributos é representada da mesma maneira no Microsoft Entra ID e no Active Directory local. Mas alguns atributos têm tratamentos especiais, e o valor do atributo no Microsoft Entra ID pode ser diferente do que é sincronizado no Microsoft Entra Connect.
Introdução aos atributos sombra
Alguns atributos têm duas representações no Microsoft Entra ID. O valor local e um valor calculado são armazenados. Esses atributos adicionais são chamados de atributos sombra. Os dois atributos mais comuns nos quais é possível ver esse comportamento são userPrincipalName e proxyAddress. O mecanismo de sincronização no Microsoft Entra Connect e na sincronização de nuvem exporta o valor para o atributo de sombra e, em seguida, o Microsoft Entra ID processa esse atributo para calcular o valor final. O mecanismo de sincronização também importa valores do atributo de sombra, portanto, mesmo que o valor calculado final seja diferente, da perspectiva do mecanismo de sincronização, ele é capaz de confirmar o valor original que foi exportado. Você não pode ver os atributos de sombra usando o centro de administração do Microsoft Entra ou com o PowerShell, mas entender esse conceito ajuda você a solucionar determinados cenários em que o atributo tem valores diferentes no local e na nuvem.
Para entender melhor o comportamento, veja este exemplo da Fabrikam:
Eles têm vários sufixos UserPrincipalName (UPN) em seu Active Directory local, mas apenas um é verificado no Microsoft Entra ID.
userPrincipalName
Um usuário tem os seguintes valores de atributo em um domínio não verificado:
| Atributo | Valor |
|---|---|
| userPrincipalName local | lee.sperry@fabrikam.com |
| Microsoft Entra shadowUserPrincipalName | lee.sperry@fabrikam.com |
| Microsoft Entra userPrincipalName | lee.sperry@fabrikam.onmicrosoft.com |
O atributo userPrincipalName é o valor que você vê ao usar o PowerShell.
Como o valor do atributo real local é armazenado no Microsoft Entra ID, quando você verifica o domínio fabrikam.com, o Microsoft Entra ID atualiza o atributo userPrincipalName com o valor de shadowUserPrincipalName. Não é necessário sincronizar as alterações no Microsoft Entra Connect ou sincronizar a nuvem para que esses valores sejam atualizados.
proxyAddresses
O mesmo processo para incluir somente os domínios verificados também ocorre no caso de proxyAddresses, mas com uma certa lógica adicional. A verificação de domínios verificados ocorre apenas para usuários de caixa de correio. Um usuário ou contato habilitado para email representa um usuário em outra organização do Exchange, e você pode adicionar quaisquer valores no proxyAddresses a esses objetos.
Para um usuário de caixa de correio, no local ou no Exchange Online, somente os valores de domínios verificados são exibidos. O resultado pode ser este:
| Atributo | Valor |
|---|---|
| proxyAddresses local | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie.spencer@fabrikam.com smtp:abbie@fabrikamonline.com |
| proxyAddresses do Exchange Online | SMTP:abbie.spencer@fabrikamonline.com smtp:abbie@fabrikamonline.com SIP:abbie.spencer@fabrikamonline.com |
Nesse caso, smtp:abbie.spencer@fabrikam.com foi removido, pois esse domínio não foi verificado. Mas o Exchange também adicionou SIP:abbie.spencer@fabrikamonline.com. A Fabrikam pode não estar usando o Lync/Skype for Business local, mas o Microsoft Entra ID e o Exchange Online se preparam para isso.
Essa lógica para proxyAddresses é conhecida como ProxyCalc. ProxyCalc é invocado a cada alteração em um usuário, quando:
- O usuário obtém um plano de serviço atribuído que inclui o Exchange Online mesmo que o usuário não tenha sido licenciado para uma caixa de correio do Exchange. Por exemplo, se o usuário receber o SKU do Office E3, mas apenas o serviço do SharePoint Online estiver selecionado. Essa condição será verdadeira mesmo se a caixa de correio do usuário ainda for local.
- O atributo msExchRecipientTypeDetails tem um valor.
- Você faz uma alteração no proxyAddresses ou no userPrincipalName.
O ProxyCalc corrigirá um endereço se o ShadowProxyAddresses contiver um domínio não verificado e o usuário de nuvem tiver uma das propriedades a seguir configuradas.
- O usuário foi licenciado com um plano de tipo de serviço EXO habilitado (exceto MyAnalytics)
- O usuário tem MSExchRemoteRecipientType definido (não nulo)
- O usuário não é considerado um recurso compartilhado
O usuário é considerado um recurso compartilhado quando seu atributo CloudMSExchRecipientDisplayType tem um dos seguintes valores:
| Tipo de exibição do objeto | Valor (decimal) |
|---|---|
| MailboxUser | 0 |
| PublicFolder | 2 |
| ConferenceRoomMailbox | 7 |
| EquipmentMailbox | 8 |
| ArbitrationMailbox | 10 |
| RoomList | 15 |
| TeamMailboxUser | 16 |
| GroupMailbox | 17 |
| SchedulingMailbox | 18 |
| ACLableMailboxUser | 1073741824 |
| ACLableTeamMailboxUser | 1073741840 |
Observação
O CloudMSExchRecipientDisplayType não é visível no lado do Microsoft Entra ID, e só pode ser exibido usando o cmdlet do Exchange Online Get-Recipient.
Exemplo:
Get-Recipient admin | fl *type*
ProxyCalc pode levar algum tempo para processar uma alteração em um usuário, e não é síncrono com o processo de exportação do Microsoft Entra Connect.
Observação
A lógica do ProxyCalc tem alguns comportamentos adicionais para cenários avançados não documentados neste tópico. Este tópico é fornecido para você entender o comportamento, e não documentar toda a lógica interna.
Valores de atributo em quarentena
Os atributos sombra também são usados quando há valores de atributo duplicados. Para saber mais, veja resiliência de atributo duplicada.