几个 Azure AD。新 MsolServicePrincipal:访问被拒绝
Several Azure AD. New-MsolServicePrincipal : Access Denied
我想将我的 Azure Active Directory 设置为 SharePoint 2013 Foundation 的身份提供者。我从属于另一个基础结构(我公司的基础结构)的帐户激活了 Azure 试用版。所以我现在拥有的是:
- 安装了 SharePoint 2013 Foundation 的 Azure VM。由我创建用于测试目的
- Azure Active Directory 是我公司基础架构的一部分。我什至没有任何权限查看它。但我看到它是因为我的公司使用它
- Azure Active Directory,我作为全局管理员 (my-ad-name)。由我创建用于测试目的
- 访问控制服务。由我创建用于测试目的
所以按照文章 Using Microsoft Azure Active Directory for SharePoint 2013 authentication 我得到错误
PS C:\Users\tu1> New-MsolServicePrincipal -ServicePrincipalNames @("https://my-ad-name.accesscontrol.windo
ws.net/") -DisplayName "Test ACS Namespace" -Addresses $replyUrl
The following symmetric key was created as one was not supplied m2XQJAeUKEQztjn/sEDJwy8TbG8jPxpw6cemkm8Fnkw=
New-MsolServicePrincipal : Access Denied. You do not have permissions to call this cmdlet.
At line:1 char:1
+ New-MsolServicePrincipal -ServicePrincipalNames @("https://my-ad-name.accesscon ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationStopped: (:) [New-MsolServicePrincipal], MicrosoftOnlineException
+ FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.AccessDeniedException,Microsoft.Online.Admini
stration.Automation.NewServicePrincipal
可能是因为我没有权限使用 Azure AD?有没有办法只将访问控制服务与我需要的 AD 连接?
当您使用 Connect-MsolService 连接到 Azure AD PowerShell 时,您用于登录的用户名将定义您在哪个目录中工作。外部用户(最初来自一个目录的用户出现在第二个目录中)不能被使用。
例如,您有用户 bob@contoso.com,在我们将通过验证的域名 contoso.com 识别的目录中。如果 bob@contoso.com 使用 Azure 门户创建新目录(此处由其初始域名 fabrikam.onmicrosoft.com 标识),第一个用户(和管理员)将是 外部用户 bob@contoso.com.
为了在 fabrikam.onmicrosoft.com 的上下文中连接到 Azure AD PowerShell,需要在该目录中创建 new "native" 用户。因此,例如,如果 admin@fabrikam.onmicrosoft.com 在 fabrikam.onmicrosoft.com 中创建为管理员,则该新用户帐户将能够登录到 Azure AD PowerShell 并创建新的服务主体。
注意:您始终可以使用 Get-MsolCompanyInformation.
确认您正在使用哪个目录
我想将我的 Azure Active Directory 设置为 SharePoint 2013 Foundation 的身份提供者。我从属于另一个基础结构(我公司的基础结构)的帐户激活了 Azure 试用版。所以我现在拥有的是:
- 安装了 SharePoint 2013 Foundation 的 Azure VM。由我创建用于测试目的
- Azure Active Directory 是我公司基础架构的一部分。我什至没有任何权限查看它。但我看到它是因为我的公司使用它
- Azure Active Directory,我作为全局管理员 (my-ad-name)。由我创建用于测试目的
- 访问控制服务。由我创建用于测试目的
所以按照文章 Using Microsoft Azure Active Directory for SharePoint 2013 authentication 我得到错误
PS C:\Users\tu1> New-MsolServicePrincipal -ServicePrincipalNames @("https://my-ad-name.accesscontrol.windo
ws.net/") -DisplayName "Test ACS Namespace" -Addresses $replyUrl
The following symmetric key was created as one was not supplied m2XQJAeUKEQztjn/sEDJwy8TbG8jPxpw6cemkm8Fnkw=
New-MsolServicePrincipal : Access Denied. You do not have permissions to call this cmdlet.
At line:1 char:1
+ New-MsolServicePrincipal -ServicePrincipalNames @("https://my-ad-name.accesscon ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationStopped: (:) [New-MsolServicePrincipal], MicrosoftOnlineException
+ FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.AccessDeniedException,Microsoft.Online.Admini
stration.Automation.NewServicePrincipal
可能是因为我没有权限使用 Azure AD?有没有办法只将访问控制服务与我需要的 AD 连接?
当您使用 Connect-MsolService 连接到 Azure AD PowerShell 时,您用于登录的用户名将定义您在哪个目录中工作。外部用户(最初来自一个目录的用户出现在第二个目录中)不能被使用。
例如,您有用户 bob@contoso.com,在我们将通过验证的域名 contoso.com 识别的目录中。如果 bob@contoso.com 使用 Azure 门户创建新目录(此处由其初始域名 fabrikam.onmicrosoft.com 标识),第一个用户(和管理员)将是 外部用户 bob@contoso.com.
为了在 fabrikam.onmicrosoft.com 的上下文中连接到 Azure AD PowerShell,需要在该目录中创建 new "native" 用户。因此,例如,如果 admin@fabrikam.onmicrosoft.com 在 fabrikam.onmicrosoft.com 中创建为管理员,则该新用户帐户将能够登录到 Azure AD PowerShell 并创建新的服务主体。
注意:您始终可以使用 Get-MsolCompanyInformation.