Ответ 1
Ответ заключался в том, что мне нужно было настроить глобальный администратор в домене Azure AD.
Почему в качестве со-администратора подписки я не могу редактировать Active Directory?
Клиент сделал меня со-администратором своей подписки на Azure. Однако я не могу редактировать его Active Directory, то есть добавлять/редактировать пользователей, создавать приложения и т.д.
Почему я не могу получить доступ к этому? Я думаю, возможно, подписка принадлежит AD, а не наоборот.
Что делает каждый из уровней роли в AD? Там в
- Глобальный администратор
- Администратор фактурирования
- Администратор службы
- Пользователь Admin
- Пароль Admin
Ответы
Ответ 2
Я считаю, что основной причиной этой ошибки является то, что, когда к подписке добавляется совлокальный администратор с учетной записью Microsoft, он добавляется в подписку AD как Guest тип пользователя. Чтобы вы могли получить доступ к этому AD, чтобы вы могли выполнять операции над AD, ваш тип пользователя должен быть изменен на Member от Guest. У меня была такая же проблема с одним из пользователей нашего продукта, и описанные ниже действия решили проблему.
Чтобы изменить тип пользователя, нужно использовать командлеты AD PowerShell. Процесс довольно запутан и должен выполняться вашим клиентом.
- Во-первых, обратитесь к своему клиенту, если они сами используют учетную запись Microsoft для входа в портал. Если они есть, тогда им нужно будет создать пользователя в своем Azure AD. Пожалуйста, посмотрите эту тему, почему это необходимо: PowerShell - подключение к Azure Active Directory с использованием учетной записи Microsoft.
- Затем им нужно будет войти в систему, используя эту учетную запись, потому что нужно изменить пароль пользователя при первом входе в систему.
- Установите AD-модули. Вы можете найти эти ссылки полезными для этой цели: https://msdn.microsoft.com/en-us/library/azure/jj151815.aspx#bkmk_installmodule, http://www.microsoft.com/en-us/download/details.aspx?id=41950 (выберите 64-битную версию) и http://go.microsoft.com/fwlink/p/?linkid=236297.
- Запустите PowerShell и выполните следующие команды:
.
$cred = Get-Credential #In the window that shows up, please specify the local AD user credentials.
connect-msolservice -Credential $cred
(Get-MsolUser -SearchString "your microsoft account email address").UserType #This should output "Guest". If it doesn’t, please stop and do not proceed further as there might be some other issue.
(Get-MsolUser -SearchString "your microsoft account email address") | Set-MsolUser -UserType Member
(Get-MsolUser -SearchString "your microsoft account email address").UserType #This should now output "Member"
Если почему-то проблема все еще сохраняется, попросите своего клиента войти в портал, удалите свою запись пользователя из списка пользователей AD и добавьте ее снова. Это также должно позаботиться об этой проблеме.
Ответ 3
Оба вышеизложенных ответа кажутся правильными в своем роде.
Как администратор подписки на стартовый сервер автоматически не делает вас администратором ADA. Для целевого Azure AD вам понадобится явное предоставление гранта.
Второй аспект - тип используемой учетной записи. Если в текущей учетной записи Azure AD или Microsoft Live все хорошо. Если эта учетная запись является частью внешнего Azure AD, по умолчанию пользовательский тип "Гость" (может войти в систему, но не может управлять событием, если назначен "Глобальный администратор" ). Поэтому команды PowerShell, выделенные выше, должны быть выполнены для изменения типа пользователя на "Участник".
Более полезную информацию можно найти здесь (она упоминается как проблема Team Services Team Visual Studio, но на самом деле применяется к большинству услуг, связанных с Azure).