Azure 为什么作为订阅的联合管理员,我无法编辑Active Directory?
一位客户让我成为他的Azure订阅的联合管理员。但是,我无法编辑他的Active Directory,即添加/编辑用户、创建应用程序等 为什么我不能访问它?我在想,也许订阅是由广告所有的,而不是反过来 广告中的每个角色级别允许什么?有Azure 为什么作为订阅的联合管理员,我无法编辑Active Directory?,azure,azure-active-directory,Azure,Azure Active Directory,一位客户让我成为他的Azure订阅的联合管理员。但是,我无法编辑他的Active Directory,即添加/编辑用户、创建应用程序等 为什么我不能访问它?我在想,也许订阅是由广告所有的,而不是反过来 广告中的每个角色级别允许什么?有 全局管理员 计费管理员 服务管理员 用户管理员 密码管理员 我认为此错误的主要原因是,当Microsoft帐户的联合管理员添加到订阅中时,它会作为来宾用户类型添加到订阅广告中。为了让您能够访问该广告,以便您可以对该广告执行操作,您的用户类型需要从Guest更改为
- 全局管理员
- 计费管理员
- 服务管理员
- 用户管理员
- 密码管理员
来宾GuestMember如果问题仍然存在,请让您的客户登录门户,从AD用户列表中删除您的用户记录,然后再次添加。这也应该解决这个问题。答案是我需要被设置为Azure AD域的全局管理员。以上两个答案似乎都是正确的 作为初学者订阅管理员,您不会自动成为Azure AD管理员。您需要在目标Azure AD上获得明确的角色授权 第二个方面是使用的帐户类型。如果它在当前Azure广告或Microsoft Live帐户中,则一切正常。 如果该帐户是外部Azure广告的一部分,默认情况下用户类型为“来宾”(可以登录,但如果分配了“全局管理员”,则无法控制事件)。因此,应执行上面突出显示的PowerShell命令,将用户类型更改为“成员”
可以找到一些更有用的信息(它被称为Visual Studio团队服务问题,但实际上适用于大多数与Azure相关的服务)。有关Active Directory帐户的权限与Azure订阅管理员的权限并不完全一致。还有一些历史原因和多个系统合并在一起的原因(例如,VSO)。不幸的是,这有点混乱,因为他们都维护自己的权限集。2个问题:1)当您登录Azure Portal时,您是否在广告列表中看到您客户的广告?2)我猜您使用您的Microsoft帐户登录Azure Portal,并且该帐户被设置为联合管理员。这是正确的吗?1)是的,我看到了目录,但当我单击用户/组等时,它会显示“您没有访问这些资源的权限…”2)是的,我的Microsoft帐户。不同Azure广告角色的描述:有趣,您需要是“全局管理员”“只需在您的订阅中创建RmADApplication,这是管理CLI/cmdlet之外的单个Azure资源所需的。Azure太棒了。我是第一个加入他的Azure广告的。我认为问题在于我被设置为服务管理员而不是全局管理员。我让他把我换成全球管理员,看看这是否是问题所在。@Gaurav-这太棒了!感觉又黑又脏,但效果不错!有一件有趣的事,PowerShell intelli sense没有为
设置MsolUser-UserType$cred = Get-Credential #In the window that shows up, please specify the local AD user credentials.
connect-msolservice -Credential $cred
(Get-MsolUser -SearchString "your microsoft account email address").UserType #This should output "Guest". If it doesn’t, please stop and do not proceed further as there might be some other issue.
(Get-MsolUser -SearchString "your microsoft account email address") | Set-MsolUser -UserType Member
(Get-MsolUser -SearchString "your microsoft account email address").UserType #This should now output "Member"