синхронизации службы доменов Active Directory (добавляет) и лазурь активный каталог (AAD)

Question

Привет У меня есть проблема с Azure Active Directory Domain Services (добавляет)

При создании нового пользователя в AAD пользователь также видна из AADS , Однако при удалении пользователя из AAD пользователь по-прежнему отображается из AADS, но помечается как отключенный. Я ожидал, что пользователь будет удален в AADS. Также при воссоздании пользователя в AAD (новый идентификатор) пользователь по-прежнему помечен как отключенный в AADS.

НЕТ на месте-AD и нет ADConnect.

Почему AAD и AADS не синхронизированы, как ожидалось? И как мне заставить повторную синхронизацию?

Answer 1

О, я понял, прочитав документацию более тщательно. По-видимому, пользователи, которые были удалены, помещаются в мусорную корзину на 30 дней, и их можно восстановить оттуда. Решение для меня - просто очистить корзину-рециркуляцию и сделать это при удалении пользователей.

$deletedUsers = Get-MsolUser -ReturnDeletedUsers -All 
foreach($user in $deletedUsers) 
{ 
    echo $user.DisplayName 
    Remove-MsolUser -ObjectId $user.ObjectId -RemoveFromRecycleBin -Force 
} 

Answer 2

на основе официальной документации, после первоначальной синхронизации между Azure AD и Azure AD DS, это обычно занимает около 20 минут для обновления изменений. Обновление включает изменения пароля или изменения атрибутов, внесенных в Azure AD.

Подробнее см. Ниже. счета

пользователя, членство в группах и учетные хэш синхронизированы с вашего Azure AD арендатора вашего Azure AD Domain Services удался домен. Этот процесс синхронизации является автоматическим. Вам не нужно настраивать, контролировать или управлять этой синхронизацией . После завершения однократной первоначальной синхронизации вашего каталога для изменений, внесенных в , Azure AD будет отображаться в вашем управляемом домене. Эта синхронизация интервал применяется к изменениям пароля или изменениям атрибутов, сделанных в Azure AD.

Кроме того, среди атрибутов пользователя для синхронизации, атрибут пользователя accountEnabled в Azure AD синхронизируется с атрибутом пользователя UserAccountControl в Azure AD DS. Если пользователь отключен в Azure AD, значение userAccountControl устанавливается в ACCOUNT_DISABLED бит.

Основываясь на приведенной выше информации, я думаю, что Azure AD имеет разрешения на создание и изменение пользователей и групп в Azure AD DS во время синхронизации. Он не имеет достаточного разрешения на удаление пользователей.