我通过扩展AD模式(AD 2016(在本地创建了一个自定义的多值Unicode字符串属性。我已将属性与AAD连接同步到Azure AD。在门户中创建动态组时,我可以在成员规则中引用它。
属性是扩展_{GUID}_MyAttribute.在用户的自定义属性中,内部部署有两个项目itemA和itemB。
在我的动态组中没有以下工作
(user.extension_xxxxxxxxxxxxxxxxx_MyAttribute -any (_ -contains "itemA"))
(user.extension_xxxxxxxxxxxxxxxxx_MyAttribute -contains "itemA")
(user.extension_xxxxxxxxxxxxxxxxx_MyAttribute -any (_ -contains "itemA" -and "itemB"))
我错过了什么?我在这里关注MSFT的文章https://learn.microsoft.com/en-us/azure/active-directory/users-groups-roles/groups-dynamic-membership#multi-价值属性
谢谢
编辑:只是为了提供更多的上下文。我使用B2C自定义策略中的REST技术配置文件,使用REST API调用获取有关该组的成员信息。有一个遗留的本地应用程序,它填充用于驱动成员资格的AD属性。
虽然我还没能看到同步到AAD的多值属性是什么样子,但这似乎是目前已知的限制。
请参阅此链接中的第二个注意提示。
尽管Azure AD Connect支持同步多值Active作为多值目录扩展的Azure AD的目录属性,目前无法检索/使用中上载的数据多值目录扩展属性。