我有一个Azure订阅,订阅管理员帐户是Microsoft帐户 . 然后我添加了另一个Microsoft帐户作为共同管理员 . 我'm told that when I add a co-administrator, it gets added to my subscription'的默认AD为 Guest 用户 . 我真正想要完成的是将用户类型从 Guest 更改为 Member . 为此,我建议使用Azure AD PowerShell,这是我正在努力的地方 .
我已经安装了相关的PS模块(基于此链接:https://msdn.microsoft.com/en-us/library/azure/jj151815.aspx) .
所以这就是我在做的事情:
首先,这是我发出的命令:
$msolcred = get-credential
我收到提示输入我提供的凭据,然后运行以下命令:
connect-msolservice -credential $msolcred
当我这样做时,我收到以下错误:
connect-msolservice : The user name or password is incorrect. Verify your user name, and then type your password again.
At line:1 char:1
+ connect-msolservice -Credential $cred -Verbose
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OperationStopped: (:) [Connect-MsolService], MicrosoftOnlineException
+ FullyQualifiedErrorId : 0x80048821,Microsoft.Online.Administration.Automation.ConnectMsolService
我甚至尝试将用户名设为 domainname.onmicrosoft.com\username ,但仍然得到相同的结果 .
所以我的问题是:
-
甚至可以使用Microsoft帐户通过PowerShell连接到Azure AD吗?
-
如果可能,那我该如何指定用户名?我已经尝试了
username以及domainname\username并且我得到了同样的错误 . -
如果不可能,那么替代解决方案是什么?我应该只在该AD中创建一个用户并将该用户置于有权管理用户的角色中(因为这是我想要做的)?
任何关于此的见解都将受到高度赞赏 .
2 回答
(更新2018-04-23以阐明如何使用AzureAD(v2)模块执行此操作 . )
AzureAD(v2)PowerShell模块接受Connect‑AzureAD中的
‑TenantId参数,该参数可以是Guid租户ID,也可以是Azure AD租户中的任何经过验证的域名 . 这样做将允许您使用外部帐户登录(例如,您的个人Microsoft帐户,或来自其他Azure AD租户的工作或学校帐户,只要此帐户先前已被邀请进入租户):MSOnline(v1)模块没有等效参数,但它接受
‑AdGraphAccessToken和‑MsGraphAccessToken,它们分别是访问Azure AD Graph API(https://graph.windows.net)和Microsoft Graph API(https://graph.microsoft.com)的令牌 . 虽然您可以使用ADAL(例如)为您的特定租户获取这些访问令牌(允许您使用外部用户),但为此创建一个"local"帐户到Azure AD租户可能更简单 .目前不支持使用Microsoft帐户登录AAD PowerShell . 您的方法(创建一个“本地”的新用户)是要走的路 .
对于那些在将来遇到这个问题的人来说,之前的答案似乎仍然是正确的 . 基本上,您必须创建一个目录本机的新帐户 . 在PowerShell中运行connect-msolservice时,此帐户可用于登录,然后您可以运行set-msoluser将用户从“Guest”转换为“Member” .
以下博客文章详细介绍了执行此操作的详细说明 . 请注意,如果您的全局管理员帐户不是工作帐户或学校帐户,则需要先遵循附录 . 另外,我在博客文章的评论部分添加了一些重要的细节 .
https://blogs.msdn.microsoft.com/dstfs/2015/12/23/issues-with-azure-active-directory-guest-users-in-aad-backed-visual-studio-team-services-accounts/
作为参考,使用set-msoluser的类似问题和解决方案可以在这个论坛帖子中找到:https://social.msdn.microsoft.com/Forums/azure/en-US/469baa2d-7ff1-4e17-a8f0-f257cbdbf50b/cannot-see-the-active-directory-item-in-the-azure-portal?forum=WindowsAzureAD