Entra Connect – продукт, созданный на кастрированном форке FIM, без которого не обходится ни одна миграция и ни один гибрид. Задача его — синхронизировать локальную AD с Entra ID. Сегодня поймал интересное поведение, которое добавило седых волос. Синхронизация объектов идёт по направлению AD → Entra ID: после создания объектов обновление идёт по атрибутам. Т. е. обновилась фамилия на земле — обновилась фамилия в облаке. Текущий заказчик имеет разные UPN в облаке и на земле. Не спрашивайте почему — это долгая история. После первой синхронизации мы написали скрипт, который обновил в облаке все UPN, как нам надо, и спокойно работали два дня. Ожидания довольно простые: не трогаем UPN на земле — не поменяется ничего в облаке. В два часа дня посыпались запросы с проблемой при доступе к Enterprise Apps. Открываем Entra ID и видим, что все пользователи вернулись к изначальным значениям. С чего вдруг, если на земле ничего не менялось, — непонятно. Резко запускаем скрипты снова и садимся разбираться. Выясняется, что из Entra ID был удалён один из Custom Domains, который никем не использовался. Entra ID, увидев, что из системы ушёл домен, который, в теории, мог быть у кого-то на земле как часть UPN, запросил полную сверку всех UPN и ProxyAddresses и, как результат, перетёр все изменения в облаке. Мораль — отход от стандартных решений — это всегда боль.