使用组增量功能(此处描述(时,如果组成员身份更改源自预处理AD环境并同步到Azure,则不会报告这些更改。如果这些相同的成员身份更改源于Azure,那么它们将被正确地报告为delta。请注意,添加或删除用户的报告是正确的具体是没有报告的成员变更
这些更改也不会出现在审核跟踪中。其他人也在这里报道了这一点。审核跟踪确实表明其成员身份已更改的组已更新,但所有更改的都是onPremisesLastSyncTime。
以下是一些复制步骤:
- 在AD中,创建用户和组
- 设置AD Connect以将用户和组导入Azure
- AD连接同步
- 从Azure获取
groups/delta?$expand=members&$deltaToken=latest&$select=displayName令牌 - 将同步用户移动到AD中的同步组
- AD连接同步
- 使用上面获得的令牌
- 请注意,即使Azure中的组成员身份已更改,也不会返回任何组更改
Microsoft Graph Delta端点从Azure AD查询信息。
它应该与更改是来自内部部署还是Azure无关。只要您在内部部署中所做的更改已成功同步到Azure,您就可以通过此API查询更改。因为此信息存储在Azure AD.中
此外,我们测试了您描述的场景:在内部部署AD中删除一个用户。然后在Azure AD中删除该用户。Microsoft Graph Delta记录该用户被删除,并且组的成员发生了更改。
请确保在进行更改后同步已完成。
如果问题仍然存在,强烈建议在Azure门户网站上提出支持票证,以跟踪您的Graph请求。