AD 附加属性同步到 AAD 扩展属性未显示在 AAD 用户对象上

Question

有人可以帮我解决以下问题吗，在此先感谢

我在 LAB 中设置了 AD Connect，并且我的 LAB Active Directory 用户正在正常同步到我的 LAB Azure AD

然后我再次通过 Azure AD Connect 设置向导同步“自定义同步选项”并选择“目录扩展属性同步”并选择同步两个附加属性（用于测试），我选择了 Active Directory 属性adminCount' 和 'carLicense' 我有一个名为 Craig 的域管理员用户，他的 adminCount 属性设置为 1，我为 carLicense 添加了一个值

当我检查 Get-ADSyncGlobalSettings

我可以在 Microsoft.OptionalFeature.DirectoryExtensionAttributes 下看到列出的 carLicense 和 adminCount（以及其他属性）因此看起来 AD Connect 应该将这两个属性从 AD 同步到 Azure AD 对吗？

但是，即使在重新启动 AD Connect 并进行增量同步之后，当我执行 Get-AzureADUser -SearchString Graig | 时，我仍然在我的 Azure AD 用户上看不到这些属性。选择 -ExpandProperty 扩展属性

在输出中没有 adminCount 或 carLicense 属性或其值的迹象

请指教，我哪里出错了？

我是否需要 Azure AD P2 许可证或其他东西来同步其他内置活动目录属性？

我还设置了一个单独的自定义规则来将 AD 属性同步到 AAD 用户类的 extension13。

以上内容出现在 AD Connect OK 下的 Metaverse 中（填充了正确的值）

但是，AAD 用户对象中没有出现，如上任何想法请

提前致谢

CXMelga

Answer 1

我还设置了一个单独的自定义规则来将 AD 属性同步到 AAD 用户类的 extension13。

如果将扩展属性同步到 extensionAttribute13，则无法通过 Azure AD powershell Get-AzureADUser 获取。

extensionAttribute13 属于 onPremisesExtensionAttributes，它只是 Microsoft Graph 中User 对象的属性，但AzureAD powershell 调用Azure AD Graph API，onPremisesExtensionAttributes 属性不是@ 的属性987654325@ 在 AAD 图中。

所以如果你想获取属性，这里有两种方案供你参考。

1。使用 Microsoft Graph - Get a user 执行此操作，在 Microsoft Graph Explorer 中使用如下查询。或者，如果您想使用 powershell 来执行此操作，您可以选择使用 Invoke-RestMethod（示例 here）在 powershell 中调用 MS Graph。

GET https://graph.microsoft.com/v1.0/users/<object-id of the user>?$select=onPremisesExtensionAttributes

2。使用 Azure AD Connect 同步时，编辑出站同步规则，如下所示。在您的情况下，它应该类似于extension_3e2cd06ca3494546888b069a891b4bb6_adminCount。有关详细信息，请参阅此link。

然后你就可以通过如下命令获取扩展属性（我建议你不要使用-SearchString参数，有时它什么都不返回。）

Get-AzureADUserExtension -ObjectId <object-id of the user>

或者

Get-AzureADUser -ObjectId <object-id of the user> | select -ExpandProperty extensionproperty