Azure active directory 创建与本地用户具有相同ID的新Azure AD用户

Azure active directory 创建与本地用户具有相同ID的新Azure AD用户,azure-active-directory,microsoft-graph-api,Azure Active Directory,Microsoft Graph Api,为了跟进之前的一个问题,我想知道这是否可行 TLDR;当使用Microsoft Graph创建新用户时,该新用户是否可以与本地现有广告用户匹配 情况: 我们有一个与Azure广告同步的本地广告。默认同步过程每30分钟运行一次 我们有一个ASP.NET MVC应用程序,它恰好在我们的本地广告中创建了一个新用户。成功创建后,我想强制与Azure广告同步,因为我还有其他步骤要应用于该特定用户,例如为他分配许可证 我知道Start-adsyncsyncycle-PolicyType-Deltacmdle

为了跟进之前的一个问题,我想知道这是否可行

TLDR;当使用Microsoft Graph创建新用户时,该新用户是否可以与本地现有广告用户匹配

情况:

我们有一个与Azure广告同步的本地广告。默认同步过程每30分钟运行一次

我们有一个
ASP.NET MVC
应用程序,它恰好在我们的本地广告中创建了一个新用户。成功创建后,我想强制与Azure广告同步,因为我还有其他步骤要应用于该特定用户,例如为他分配许可证

我知道
Start-adsyncsyncycle-PolicyType-Delta
cmdlet,但我必须从C#内部运行该cmdlet,这可能需要
X amount
时间运行,具体取决于需要同步的用户数量

此外,我需要在继续执行其他步骤(例如应用许可证)之前完全完成该命令

问题:

由于运行
Start-ADSyncSyncCycle-PolicyType-Delta
cmdlet可能存在潜在问题,并且运行所需的
X时间量
,我想知道是否可以改为使用
Microsoft Graph
并创建新用户

我想我会遇到的问题是,代码已经创建了一个本地广告用户,那么,如果我使用
Microsoft Graph
创建一个用户,我担心这将最终创建一个不同的用户

我考虑使用
Graph
创建用户的唯一原因是不必运行PowerShell命令,从而避免运行
X所需的时间

我想问题是,是否有可能:

  • 创建本地广告用户
  • 从新创建的用户处获取某种ID并传递该ID 对于
    MicrosoftGraph
    这样创建用户,我不会 两个不同的用户
在某个时间点,当实际的同步过程发生时,它不会对该特定用户做任何事情,因为它已经存在于Azure AD中

我希望我说得有道理,因为口头上很难解释这一点

我欢迎任何不同的方法或想法

诚恳地说,这应该是可能的(尽管我还没有尝试过)。这里重要的是要确保链接,您可以将
onpremisimmutableid
属性设置为创建的一部分。请看。我不认为我们有任何使用此属性集创建用户的示例,但它应该是简单的,对于联邦用户来说,这是实际需要的。默认情况下,onPremisesImmutableId是本地AD用户的ADObjectId,除非您已将ADConnect配置为使用其他对象

注意:您应该能够使用Azure AD PowerShell执行相同的操作-(尽管这里的属性称为immutableId)


希望这有助于

,而不是使用SSO的密码同步,您是否考虑使用Author FS,用户可以登录到微软云服务,如Office 365,使用他们在本地网络中使用的相同密码,用户被重定向到他们的本地AD FS实例以登录并在本地进行身份验证?因此,如果我理解正确,在以编程方式创建本地AD用户后,我应该检索新创建的ADObjectId。然后使用Graph发布并创建一个新用户。在该帖子中,将onPremisesImmutableId属性的值设置为ADObjectId,瞧!作为记录,那天晚些时候,当AD Connect启动并执行其同步操作时,它将不需要同步特定的ADObjectId(或者干脆忽略它),因为该用户将同时存在于本地广告和Azure广告上,对吗?正确。我认为,当您设置onPremisesImmutableId属性时,可能需要对其进行based64编码。我会查一查,然后再打给你——或者你可以尝试一个实验;)