Últimamente, he necesitado diferenciar los usuarios creados en Azure AD de los usuarios sincronizados mediante Azure AD Connect.
Los atributos que nos permiten diferenciar estos usuarios son los siguientes:
- DirSyncEnabled
- ImmutableId
- OnPremisesSecurityIdentifier
- LastDirSyncTime
De estos atributos, el más lógico es DirSyncEnabled. Pero una característica interesante a la hora de usar este atributo es que o tiene el valor true o tiene null; no tiene el valor false. Mis primeros scripts y grupos asumían que el valor sería true o false, y no funcionaban correctamente.
Teniendo en cuenta esta característica, no resulta complicado tener una consulta powershell que nos devuelva los usuarios creados en Azure AD:
Get-AzureADUser -All $true | where {$_.DirSyncEnabled -ne $true}
O crear un grupo dinámico.
Grupo Dinámico de Azure AD