Azure AD - 检索本地 AD 组公用名

Question

我有一个应用程序需要根据其本地 AD 公用名过滤权限。几点说明：

• Azure AD Connect 正在 OnPrem AD 和 Azure 之间同步数据
• 我已成功将已登录用户的组信息从 Azure Graph API 检索到 Web 应用程序中。

我遇到的问题是从 Graph API 返回的数据不是我需要的，或者我没有正确配置 Azure AD Connect。组的 Graph API JSON 返回对象记录在 here。

这是从 Graph API 返回的 Group 对象：

{
  "odata.metadata": "https://graph.windows.net/myorganization/$metadata#directoryObjects/Microsoft.DirectoryServices.Group/@Element",
  "odata.type": "Microsoft.DirectoryServices.Group",
  "objectType": "Group",
  "objectId": "b4bda672-1fba-4711-8fb1-5383c40b2c14",
  "deletionTimestamp": null,
  "description": "Marketing Department",
  "dirSyncEnabled": null,
  "displayName": "Marketing",
  "lastDirSyncTime": null,
  "mail": null,
  "mailNickname": "BposMailNickName",
  "mailEnabled": false,
  "onPremisesSecurityIdentifier": null,
  "provisioningErrors": [],
  "proxyAddresses": [],
  "securityEnabled": true
}

我能找到的最接近的是“显示名称”，但这不是通用名称。我不想使用的一个选项是使所有“显示名称”与组 CN 相同。

TLDR; 是否可以通过 Graph API 访问用户组 CN？如果可以，我如何获取这些数据？

-更新：一旦我检索到所有用户组 ID，我将使用 Graph API 端点 getObjectsByObjectIds 来访问 Graph API。

Answer 1

无法通过 Graph API（AAD 或 Microsoft Graph）访问 CN。如果您正在寻找本地和云之间的通用唯一标识符，您可以使用本地组 SID（在云中 onPremisesSecurityIdentifier）。此属性是可过滤的。

我能想到的唯一其他选择（如果这是不可接受的，并且您真的需要 CN）是使用 directory schema extensions，通过额外的 CN 属性扩展组实体。模式扩展也是可过滤的。另请查看最新的 AD Connect 版本，因为我相信它们提供了从本地创建/配置 AAD 云架构扩展和映射的能力。

希望对你有帮助，