Diferenciar usuarios sincronizados con Azure AD Connect


Últimamente, he necesitado diferenciar los usuarios creados en Azure AD de los usuarios sincronizados mediante Azure AD Connect.

Los atributos que nos permiten diferenciar estos usuarios son los siguientes:

  • DirSyncEnabled
  • ImmutableId
  • OnPremisesSecurityIdentifier
  • LastDirSyncTime

De estos atributos, el más lógico es DirSyncEnabled. Pero una característica interesante a la hora de usar este atributo es que o tiene el valor true o tiene null; no tiene el valor false. Mis primeros scripts y grupos asumían que el valor sería true o false, y no funcionaban correctamente.

Teniendo en cuenta esta característica, no resulta complicado tener una consulta powershell que nos devuelva los usuarios creados en Azure AD:

Get-AzureADUser -All $true | where {$_.DirSyncEnabled -ne $true}

O crear un grupo dinámico.

Grupo Dinámico de Azure AD

Grupo Dinámico de Azure AD

Comments (1)

  1. Buenas Santiago,

    Muy interesante para los administradores de Azure.

    Gracias por compartir.

Skip to main content