web-dev-qa-db-ja.com

サブスクリプションの共同管理者としてActive Directoryを編集できないのはなぜですか?

顧客から、Azureサブスクリプションの共同管理者になりました。しかし、私は彼のActive Directoryを編集することができません。つまり、ユーザーの追加/編集、アプリケーションの作成などができません。

なぜアクセスできないのですか?おそらくサブスクリプションはADが所有しており、その逆ではないと思います。

ADの各役割レベルでは何が許可されますか?あります

  • グローバル管理者
  • 課金管理者
  • サービス管理者
  • ユーザー管理者
  • パスワード管理者
15
PilotBob

答えは、Azure ADドメインのグローバル管理者として設定する必要があるということでした。

4
PilotBob

このエラーの主な理由は、Microsoftアカウントの共同管理者がサブスクリプションに追加されると、サブスクリプションADにGuestユーザータイプとして追加されるためだと思います。そのADにアクセスしてADで操作を実行できるようにするには、ユーザータイプをMemberからGuestに変更する必要があります。私の製品のユーザーの1人とまったく同じ問題があり、下記の手順で問題が解決しました。

ユーザーの種類を変更するには、AD PowerShellコマンドレットを使用する必要があります。このプロセスはかなり複雑で、顧客が行う必要があります。

  1. 最初に、顧客がポータルへのサインインにMicrosoftアカウントを使用しているかどうかを顧客に確認します。そうであれば、Azure ADでユーザーを作成する必要があります。これが必要な理由については、このスレッドを参照してください: PowerShell-Microsoftアカウントを使用してAzure Active Directoryに接続する
  2. 次に、最初のログインでユーザーパスワードを変更する必要があるため、このユーザーアカウントを使用してサインインする必要があります。
  3. ADモジュールをインストールします。これらのリンクは、この目的に役立ちます。 https://msdn.Microsoft.com/en-us/library/Azure/jj151815.aspx#bkmk_installmodulehttp:// www .Microsoft.com/en-us/download/details.aspx?id = 4195 (64ビットバージョンを選択してください)および http://go.Microsoft.com/fwlink/p/?linkid= 236297
  4. PowerShellを起動し、次のコマンドを実行します。

$cred = Get-Credential  #In the window that shows up, please specify the local AD user credentials.

connect-msolservice -Credential $cred

(Get-MsolUser -SearchString "your Microsoft account email address").UserType #This should output "Guest". If it doesn’t, please stop and do not proceed further as there might be some other issue.

(Get-MsolUser -SearchString "your Microsoft account email address") | Set-MsolUser -UserType Member

(Get-MsolUser -SearchString "your Microsoft account email address").UserType #This should now output "Member"

それでも問題が解決しない場合は、顧客にポータルへのログインを依頼し、ADユーザーリストからユーザーレコードを削除して、再度追加してください。これでこの問題も解決できます。

10
Gaurav Mantri

上記の両方の答えは、独自の方法で正しいようです。

スターターとして、サブスクリプション管理者が自動的にAzure AD管理者になることはありません。ターゲットのAzure ADで明示的なロールの付与が必要になります。

2番目の側面は、使用されるアカウントのタイプです。現在のAzure ADまたはMicrosoft Liveアカウントにある場合は、すべて問題ありません。そのアカウントが外部Azure ADの一部である場合、デフォルトではユーザータイプは「ゲスト」です(ログインできますが、「グローバル管理者」が割り当てられている場合はイベントを制御できません)。したがって、上記で強調表示されているPowerShellコマンドを実行して、ユーザータイプを「メンバー」に変更する必要があります。

さらに役立つ情報がいくつかあります here (これはVisual Studio Team Servicesの問題として言及されていますが、実際にはほとんどのAzure関連サービスに適用されます)。

2
Milen