为什么作为订阅的共同管理员我无法编辑 Active Directory?

Why as a co-administrator of a subscription am I unable to edit the Active Directory?

一位客户让我成为他的 Azure 订阅的共同管理员。但是,我无法编辑他的 Active Directory,即 add/edit 用户、创建应用程序等

为什么我无法访问它?我在想,也许 Subscription 归 AD 所有,而不是相反。

AD 中的每个角色级别允许什么?有

我认为出现此错误的主要原因是,当将具有 Microsoft 帐户的共同管理员添加到订阅时,它会作为 Guest 用户类型添加到订阅 AD 中。为了让您能够访问该 AD,以便您可以在 AD 上执行操作,您的用户类型需要从 Guest 更改为 Member。我与我们产品的一位用户有完全相同的问题,下面描述的步骤解决了这个问题。

要更改用户类型,需要使用 AD PowerShell Cmdlet。这个过程比较复杂,需要你的客户来完成。

  1. 首先,请与您的客户核实他们自己是否使用 Microsoft 帐户登录门户。如果是,则他们需要在其 Azure AD 中创建一个用户。请查看此线程了解为什么需要这样做:.
  2. 接下来,他们需要使用此用户帐户登录,因为他们需要在第一次登录时更改用户密码。
  3. 安装广告模块。您可能会发现这些链接对此很有用:https://msdn.microsoft.com/en-us/library/azure/jj151815.aspx#bkmk_installmodule, http://www.microsoft.com/en-us/download/details.aspx?id=41950 (Please choose 64 bit version) and http://go.microsoft.com/fwlink/p/?linkid=236297.
  4. 启动 PowerShell 并执行以下命令:

.

$cred = Get-Credential  #In the window that shows up, please specify the local AD user credentials.

connect-msolservice -Credential $cred

(Get-MsolUser -SearchString "your microsoft account email address").UserType #This should output "Guest". If it doesn’t, please stop and do not proceed further as there might be some other issue.

(Get-MsolUser -SearchString "your microsoft account email address") | Set-MsolUser -UserType Member

(Get-MsolUser -SearchString "your microsoft account email address").UserType #This should now output "Member"

如果问题仍然存在,请让您的客户登录门户,从 AD 用户列表中删除您的用户记录,然后重新添加。这也应该解决这个问题。

答案是我需要在 Azure AD 域中设置为全局管理员。

上面的两个答案似乎都是正确的。

作为初学者订阅管理员不会自动让你成为 Azure AD 管理员。您需要在目标 Azure AD 上明确授予角色。

第二个方面是使用的帐户类型。如果它在当前的 Azure AD 或 Microsoft Live 帐户中,一切都很好。 如果该帐户是外部 Azure AD 的一部分,则默认用户类型为 "Guest"(可以登录,但如果分配 "Global admin" 则无法控制事件)。因此,应执行上面突出显示的 PowerShell 命令以将用户类型更改为 "Member"。

可以找到更多有用的信息 here(它被称为 Visual Studio 团队服务问题,但实际上适用于大多数 Azure 相关服务)。