Diferenciar usuarios sincronizados con Azure AD Connect

  • Article

Últimamente, he necesitado diferenciar los usuarios creados en Azure AD de los usuarios sincronizados mediante Azure AD Connect.

Los atributos que nos permiten diferenciar estos usuarios son los siguientes:

  • DirSyncEnabled
  • ImmutableId
  • OnPremisesSecurityIdentifier
  • LastDirSyncTime

De estos atributos, el más lógico es DirSyncEnabled. Pero una característica interesante a la hora de usar este atributo es que o tiene el valor true o tiene null;  no tiene el valor false. Mis primeros scripts y grupos asumían que el valor sería true o false, y no funcionaban correctamente.

Teniendo en cuenta esta característica, no resulta complicado tener una consulta powershell que nos devuelva los usuarios creados en Azure AD:

 Get-AzureADUser -All $true | where {$_.DirSyncEnabled -ne $true}

O crear un grupo dinámico.

[caption id="attachment_165" align="alignnone" width="300"]Grupo Dinámico de Azure AD Grupo Dinámico de Azure AD[/caption]