一位客户让我成为他的Azure订阅的共同管理员。但是,我无法编辑他的活动目录,即添加/编辑用户,创建应用程序等。
为什么我不能访问它?我在想也许订阅是由广告拥有的,而不是广告拥有订阅。
AD中的每个角色级别允许什么?有
- 全球管理
- 计费管理 服务管理用户管理
- 密码管理
我认为出现此错误的主要原因是,当将Microsoft帐户的共同管理员添加到订阅时,它会作为Guest用户类型添加到订阅AD中。为了使您能够访问该AD,从而可以在AD上执行操作,您的用户类型需要从Guest更改为Member。我在我们产品的一个用户那里遇到了完全相同的问题,下面描述的步骤解决了问题。
要更改用户类型,需要使用AD PowerShell cmdlet。这个过程相当复杂,需要你的客户来完成。
- 首先,检查您的客户是否自己使用Microsoft帐户登录到门户。如果是,那么他们需要在Azure AD中创建一个用户。PowerShell -使用Microsoft帐户连接到Azure Active Directory。
- 接下来,他们需要使用这个用户帐户登录,因为第一次登录时需要更改用户密码。
- 安装AD模块。您可能会发现以下链接对此目的很有用:https://msdn.microsoft.com/en-us/library/azure/jj151815.aspx#bkmk_installmodule, http://www.microsoft.com/en-us/download/details.aspx?id=41950(请选择64位版本)和http://go.microsoft.com/fwlink/p/?linkid=236297。
- 启动PowerShell并执行以下命令:
.
$cred = Get-Credential #In the window that shows up, please specify the local AD user credentials.
connect-msolservice -Credential $cred
(Get-MsolUser -SearchString "your microsoft account email address").UserType #This should output "Guest". If it doesn’t, please stop and do not proceed further as there might be some other issue.
(Get-MsolUser -SearchString "your microsoft account email address") | Set-MsolUser -UserType Member
(Get-MsolUser -SearchString "your microsoft account email address").UserType #This should now output "Member"
如果问题仍然存在,请要求您的客户登录到门户,从AD用户列表中删除您的用户记录,然后重新添加。这应该也能解决这个问题。
答案是我需要在Azure AD域中设置为全局管理员。
以上两个答案似乎都是正确的。
作为初级订阅管理员不会自动使您成为Azure AD管理员。您需要在目标Azure AD上显式授予角色。
第二个方面是所使用的帐户类型。如果它在当前的Azure AD或Microsoft Live帐户中,一切都很好。如果该帐户是外部Azure AD的一部分,则默认用户类型为"Guest"(可以登录,但如果分配为"Global admin"则无法控制事件)。因此,应该执行上面突出显示的PowerShell命令,将用户类型更改为"Member"。
可以在这里找到更多有用的信息(它被称为Visual Studio Team Services问题,但实际上适用于大多数Azure相关服务)。