我有一个应用程序需要根据其本地AD公用名过滤权限。几个笔记:
我遇到的问题是从Graph API返回的数据不是我需要的,或者我没有正确配置Azure AD Connect。组的Graph API JSON返回对象记录为here。
以下是Graph API返回的Group对象:
{
"odata.metadata": "https://graph.windows.net/myorganization/$metadata#directoryObjects/Microsoft.DirectoryServices.Group/@Element",
"odata.type": "Microsoft.DirectoryServices.Group",
"objectType": "Group",
"objectId": "b4bda672-1fba-4711-8fb1-5383c40b2c14",
"deletionTimestamp": null,
"description": "Marketing Department",
"dirSyncEnabled": null,
"displayName": "Marketing",
"lastDirSyncTime": null,
"mail": null,
"mailNickname": "BposMailNickName",
"mailEnabled": false,
"onPremisesSecurityIdentifier": null,
"provisioningErrors": [],
"proxyAddresses": [],
"securityEnabled": true
}
我能找到的最接近的是“显示名称”,但这不是通用名称。一个我不想使用的选项是使所有“显示名称”与组CN相同。
TLDR; 是否可以通过Graph API访问用户组CN,如果可以,我该如何获取此数据?
-Update:我检索完所有用户组ID后,我正在使用Graph API端点getObjectsByObjectIds来命中Graph API。
答案 0 :(得分:2)
CN无法通过Graph API(AAD或Microsoft Graph)访问。如果要在内部部署和云之间查找公共唯一标识符,则可以使用内部部署组SID(在云onPremisesSecurityIdentifier中)。这个属性是可过滤的。
我能想到的唯一其他选择(如果这是不可接受的,并且真的需要CN)是使用directory schema extensions,以使用额外的CN属性扩展组实体。架构扩展也是可过滤的。另请参阅最新的AD Connect版本,因为我相信它们可以创建/配置AAD云架构扩展并从本地映射。
希望这有帮助,