Active directory 本地AD objectGUID与Microsoft Graph中的对象id不同_Active Directory_Azure Active Directory_Microsoft Graph Api

Active directory 本地AD objectGUID与Microsoft Graph中的对象id不同

active-directory azure-active-directory microsoft-graph-api

Active directory 本地AD objectGUID与Microsoft Graph中的对象id不同,active-directory,azure-active-directory,microsoft-graph-api,Active Directory,Azure Active Directory,Microsoft Graph Api,我有一个类似的问题：我们在AD中使用objectGUID来唯一标识用户和组。我们还使用objectGUID维护组成员身份。当使用Microsoft Graph查询Microsoft租户时，我们从用户或组对象中看到的id与从on-prem AD中得到的不同。这使得AAD和AD资源很难关联我尝试使用下面的请求使用onpremisimmutableid，结果发现这个id是我的员工id /v1.0/me?$select=id,userPrincipalName,onPremisesSecurityI

我有一个类似的问题：

我们在AD中使用

objectGUID

来唯一标识用户和组。我们还使用

objectGUID

维护组成员身份。当使用Microsoft Graph查询Microsoft租户时，我们从用户或组对象中看到的

id

与从on-prem AD中得到的不同。这使得AAD和AD资源很难关联

我尝试使用下面的请求使用

onpremisimmutableid

，结果发现这个id是我的员工id

/v1.0/me?$select=id,userPrincipalName,onPremisesSecurityIdentifier,displayName,onPremisesImmutableId

知道如何在AAD世界中检索相同的

objectGUID

吗？我看了这张照片，找不到近处的任何东西

同样对于组对象，我找不到类似于用户对象中的属性

onPremisesDomainName

。这是设计的吗？

这在写这本书时是正确的答案，但从那时起情况发生了一些变化。有一篇很好的博客文章讨论了这一变化。具体来说，这一点：

在Azure AD Connect版本1.1.524.0之前，Azure AD Connect（以及Azure AD Sync和DirSync）默认使用对象的

objectGUID

属性作为源锚点。Azure AD Connect 1.1.553.0及更高版本对于用户对象默认为

mS DS ConsistencyGuid

，但是对于组和计算机对象默认为

objectGUID

在您的情况下，听起来您的特定租户映射配置不同（即您的员工id）

鉴于博客文章中提出的问题，我建议不要将

objectGUID

用于此目的。如果您要在用户和组资源中查找单个属性，我建议您改为查看

onPremisesSecurityIdentifier

。这保存了您的on-prem广告中的SID。

您可能指的是这篇博客文章，但答案中当前缺少链接。