要跟进之前的question of mine,我想知道这是否可行。
TLDR;使用Microsoft Graph创建新用户时,新用户是否可以匹配内部现有AD用户?
情况:
我们有一个与我们的Azure AD同步的内部部署AD。默认同步过程每30分钟运行一次。
我们有一个ASP.NET MVC应用程序,它恰好在我们的内部部署AD中创建了一个新用户。成功创建后,我想强制与Azure AD同步,因为我还有其他步骤可以应用于该特定用户,例如为他分配许可证。
我知道Start-ADSyncSyncCycle -PolicyType Delta cmdlet,但我必须在C#中运行该cmdlet,这可能需要X amount次运行,具体取决于需要同步的用户数量
此外,在完成其他步骤(例如申请许可证)之前,我需要完全完成该命令
问题:
由于运行Start-ADSyncSyncCycle -PolicyType Delta cmdlet以及可能需要X amount时间运行的潜在问题,我想知道是否可以使用Microsoft Graph并创建新用户。
我认为我将遇到的问题是代码已经创建了一个内部部署的AD用户,然后,如果我使用Microsoft Graph来创建用户,我就会关注这将最终创建一个不同的用户。
我考虑使用Graph创建用户的唯一原因是不必运行PowerShell命令,从而避免运行所需的X amount时间。
我想问题是,是否有可能:
Microsoft Graph,我不会最终拥有
两个不同的用户。在某个时间点,当实际的同步过程发生时,它不会对该特定用户执行任何操作,因为它已存在于Azure AD中。
我希望我有道理,因为口头解释这个很难
我欢迎任何不同的方法或想法。
此致
答案 0 :(得分:0)
这应该是可能的(虽然我没试过)。这里重要的是确保链接,您将onPremisesImmutableId属性设置为创建的一部分。请参阅https://developer.microsoft.com/en-us/graph/docs/api-reference/v1.0/resources/user。我认为我们没有任何创建具有此属性集的用户的示例,但它应该是直截了当的,并且实际上需要联合用户。默认情况下,onPremisesImmutableId是内部部署AD用户的ADObjectId,除非您已将ADConnect配置为使用其他内容。
注意:您应该可以使用Azure AD PowerShell执行相同的操作 - https://docs.microsoft.com/en-us/powershell/azuread/v2/new-azureaduser(尽管此处的属性称为immutableId)。
希望这有帮助,