Stop synchronizing thumbnailPhoto with Azure Active Directory Connect

Hallo zusammen,

Standardmässig wird das Attribut thumbnailPhoto von AAD Connect nach Azure Active Directory synchronisiert. In diesem Blog Artikel zeige ich euch, wie man diese synchronisation stoppt.

Ich aktiviere "Azure AD app and Attribute filtering"

Und wähle "i want to restrict the list of applications"

Nun selektiere ich nur "Exchange Online"

Erstmal lasse ich alle Attribute aktiviert.

Um ein Foto im AD zu speichern nutze ich AD Photo Edit.

Wie man sieht, ist nun das AD Attribut "thumbnailPhoto" mit Daten befüllt.

Bevor ich die Synchronisation starte, schaue ich mir den AzureAD User an

Nun starte ich den AD Sync

Im Syncronization Service Manager sieht man den Update

Das thumnailPhoto wird von leer mit Daten befüllt.

Schauen wir uns jetzt nochmal den Azure AD User an. Es gibt da neue thumbnailPhoto Attribute

Nun deaktiviere ich im Azure AD Connect die Synchronisation vom thumnailPhoto

Wieder wird die synchronisation angestossen

Das bereits synchronisierte thumbnailPhoto bleibt bestehen

Sieht man auch im M365 Admin Center

Die Metadaten vom Foto kann man sich auch mit dem Befehl Get-AzureADUserThumbnailPhoto ansehen

Oder das thumnailPhoto herunterladen

Get-AzureADUserThumbnailPhoto -ObjectID <ObjectID> -Filepath <Driveletter:\path> -Filename <filename>

Es ist jedoch nicht möglich, das thumnailPhoto irgendwie zu löschen oder mit einem leeren Array zu überschreiben

Habs auch über den Microsoft Graph Exlorer versucht

https://graph.microsoft.com/v1.0/users/hans.muster@serveralive.ch?$select=thumbnailphoto

Fazit:

Mit dieser Konfiguration bleiben die bisher synchronisierten thumbnailPhotos bestehen, werden jedoch nicht gelöscht. Das könnte womöglich über den AAD Connect Rules Editor erzielt werden.

Diese Möglichkeit habe ich jedoch nicht weiter untersucht.