Microsoft Graph не может сообщить о разнице членства в группах через группы / разности, которые создаются в AD AD и синхронизируются с Azure - PullRequest
Новая
       65

Microsoft Graph не может сообщить о разнице членства в группах через группы / разности, которые создаются в AD AD и синхронизируются с Azure

3 голосов
/ 07 ноября 2019

При использовании дельта-функциональности групп (описанной здесь ) изменения членства в группах не сообщаются, если эти изменения происходят в локальной среде AD и синхронизируются с Azure. Если те же самые изменения членства происходят в Azure, они правильно отображаются как дельты. Обратите внимание, что добавление или удаление пользователей сообщается правильно. В частности, об изменениях в членстве не сообщается.

Эти изменения также не отображаются в журнале аудита. Это также было сообщено здесь кем-то другим. Контрольный журнал означает , что группа, членство в которой изменилось, была обновлена, но все, что изменилось, было onPremisesLastSyncTime.

Вот несколько шагов для воспроизведения:

  • В AD создание пользователей и групп
  • Настройка AD Connect для импорта пользователей и групп в Azure
  • Синхронизация AD Connect
  • Получение токена groups/delta?$expand=members&$deltaToken=latest&$select=displayName из Azure
  • Перемещение синхронизируемого пользователя в синхронизируемую группу в AD
  • Синхронизация AD Connect
  • Используйте токен, полученный выше
  • Обратите внимание, что никакие изменения группы не возвращаются, дажехотя членство в группе изменилось в Azure

1 Ответ

0 голосов
/ 08 ноября 2019

Конечная точка Microsoft Graph Delta запрашивает информацию из Azure AD.

Она не должна иметь никакого отношения к тому, являются ли изменения локальными или Azure. Если изменения, внесенные вами в локальной системе, были успешно синхронизированы с Azure, вы можете запросить изменения с помощью этого API. Поскольку эта информация хранится в Azure AD.

Кроме того, мы протестировали описанные вами сцены: удалите пользователя в локальной AD. Затем пользователь удаляется в Azure AD. Microsoft Graph Delta записывает, что этот пользователь удален, а член группы меняется.

Пожалуйста, убедитесь, что синхронизация завершена после внесения изменений.

Если проблема все еще существует, настоятельно рекомендуетсяподать заявку в службу поддержки на портале Azure для отслеживания вашего запроса Graph.

...