Microsoft Entra Connect Sync 服务影子属性

大多数属性在 Microsoft Entra ID 中的表示方式与在本地 Active Directory 中相同。 但某些属性有一些特殊处理，并且 Microsoft Entra ID 中的属性值可能不同于 Microsoft Entra Connect 同步的值。

引入了影子属性

某些属性在 Microsoft Entra ID 中有两种表示形式。 将存储本地值和计算值。 这些额外的属性称为影子属性。 表示此行为的两个最常用属性是 userPrincipalName 和 proxyAddress。 Microsoft Entra Connect 和云同步中的同步引擎将该值导出到阴影属性，然后Microsoft Entra ID 处理此属性以计算最终值。 同步引擎还会从阴影属性导入值，因此，即使最终计算值不同于同步引擎的角度来看，它也能确认导出的原始值。 无法使用 Microsoft Entra 管理中心或 PowerShell 查看阴影属性，但理解此概念有助于排查某些情况下的问题，即属性在本地和云中具有不同的值。

若要更好地了解此行为，请查看 Fabrikam 中的此示例：

他们在本地 Active Directory 中具有多个 UserPrincipalName （UPN） 后缀，但在 Microsoft Entra ID 中只验证了一个。

userPrincipalName

用户在未验证的域中具有以下属性值：

userPrincipalName 属性是在使用 PowerShell 时显示的值。

由于实际本地属性值存储在 Microsoft Entra ID 中，因此验证 fabrikam.com 域时，Microsoft Entra ID 使用 shadowUserPrincipalName 的值更新 userPrincipalName 属性。 无需同步来自 Microsoft Entra Connect 或云同步的任何更改，才能更新这些值。

代理地址

用于仅包括已验证域的相同过程也会对 proxyAddresses 执行，但会使用某个额外的逻辑。 仅对邮箱用户进行已验证域检查。 已启用邮件的用户或联系人表示另一个 Exchange 组织中的用户，只能将 proxyAddresses 中的任何值添加到这些对象。

对于邮箱用户（无论是在本地还是在 Exchange Online 中），将仅显示已验证域的值。 它可能如下所示：

在这种情况下， smtp：abbie.spencer@fabrikam.com 已被删除，因为该域未验证。 但 Exchange 还添加了 SIP:abbie.spencer@fabrikamonline.com。 Fabrikam 可能未使用本地 Lync/Skype for Business，但Microsoft Entra ID 和 Exchange Online 为它做好准备。

proxyAddresses 的此逻辑称为 ProxyCalc。 在以下情况下，每次更改用户时，将调用 ProxyCalc：

• 即使用户未获得 Exchange 邮箱的许可，用户也会获得包括 Exchange Online 的服务计划。 例如，如果用户分配了 Office E3 SKU，但仅选择了 SharePoint Online 服务。 即使用户的邮箱仍处于本地状态，此条件也是如此。
• 属性 msExchRecipientTypeDetails 具有值。
• 更改 proxyAddresses 或 userPrincipalName。

如果 ShadowProxyAddresses 包含非验证域，并且用户已配置以下属性之一，ProxyCalc 进程会清理地址。

• 用户已被授权使用 EXO 服务类型计划（不包含 MyAnalytics）
• 为用户设置了 MSExchRemoteRecipientType（非 null）
• 用户被视为共享资源

当用户的 CloudMSExchRecipientDisplayType 属性具有以下值之一时，该用户被视为共享资源：

  Get-Recipient admin | fl *type*

ProxyCalc 可能需要一些时间来处理用户更改，并且与 Microsoft Entra Connect 导出过程不同步。

隔离的属性值

有重复的属性值时，也使用影子属性。 有关详细信息，请参阅重复属性冗余体系。

另请参阅

• Microsoft Entra Connect 同步
• 将本地标识与 Microsoft Entra ID 集成。