azure - 将第 3 方 Azure AD 租户目录用户/组数据与应用程序的数据存储同步

什么 azure 容器最适合容纳高于要求的自定义业务逻辑？

这是一个相当广泛的问题，我无法肯定地回答。但是 Web Jobs 或 Durable Functions 可以工作。

连接和查询第三方租户需要什么身份验证？

如果这就像任何开始使用您的应用程序的租户一样，那么您将在您的 AAD 中注册一个多租户应用程序并要求应用程序权限以从 Microsoft Graph API 读取所有用户的基本/完整信息。然后，您需要向第 3 方租户管理员提供一项功能以同意这些权限。这意味着您需要将他们重定向到您的应用程序，此时他们将被要求授予权限。仅同意的主题有点复杂，但文档在这里：https ://docs.microsoft.com/en-us/azure/active-directory/develop/consent-framework 。

然后，您的应用程序可以在后台使用客户端凭据身份验证来获取 MS Graph API 的访问令牌并进行同步/注册以获取更改通知。

Azure AD Graph API 或 LDAP 查询哪个高效/最合适？

两者都不是，请使用 Microsoft Graph API。

如何将第 3 方租户活动目录中的任何用户或组数据更改通知给我的自定义应用程序，以便同步我们应用程序的数据存储？

您可以获得更改通知：https ://docs.microsoft.com/en-us/graph/api/resources/webhooks?view=graph-rest-1.0 。但是您可能还需要进行完全同步，以便在您错过某些更新时一切正常。最简单的解决方案就是按计划运行的完全同步。它不是快速或高效的，但它非常可靠。