删除ADFS信任关系后恢复Azure Active Directory

Question

我以前创建（成功）了一个Windows Azure Active Directory，添加了一个自定义域，并使用内部部署ADFS2.0服务器为单点登录和目录同步配置了它。到目前为止一切都很好。

意识到我应该将自定义域附加到现有的WAAD而不是新的WAAD，然后我决定删除新域。为确保不存在删除内部部署AD中任何对象的风险，我首先删除了我们的内部部署ADFS服务器上的信任关系。

不幸的是，现在这让我无法使用Azure Active Directory PowerShell cmdlet来管理WAAD - Connect-MSOLService返回“类型异常”Microsoft.Online.Administration.Automation.MicrosoftOnlineException '被扔了。“如果我使用订阅所有者的Microsoft帐户凭据（但电子邮件地址恰好与我添加的自定义域位于同一域中），或者“用户名或密码不正确。请验证您的用户名，然后尝试再次“如果我使用该目录的另一个全局管理员的凭据，其电子邮件地址不在自定义域中。

这两组凭据都允许成功登录门户网站。

不幸的是我现在无法删除WAAD，因为它包含对象 - 并且没有PowerShell访问权限，我不相信我可以批量删除从内部部署同步的~500个用户和组，然后再删除信任。

知道我如何恢复信任关系，成功连接PowerShell或删除不需要的目录？

非常感谢！

Answer 1

尝试以下方法（我相信你已经完成了大部分工作，但也许你错过了一步）：

1. 登录Azure门户（https://manage.windowsazure.com）并导航至ACTIVE DIRECTORY。
2. 选择您无法通过PowerShell访问的目录，然后单击“添加用户”。
3. 在“用户类型”下，选择“您单位中的新用户”并选择初始域下的用户名（例如admin @ contoso.onmicrosoft.com ）。
4. 填写下一页，并确保指定“全局管理员”角色。确保在最后一步中复制密码。
5. 创建用户后，您需要重置密码。一种简单的方法是启动新的浏览器会话并导航到https://portal.microsoftonline.com。系统将提示您重置密码。
6. 现在转到PowerShell并使用您刚刚创建的新用户帐户尝试Connect-MsolService。您现在应该能够删除所有对象。

一些注意事项：

• 即使您能够通过Azure门户将Microsoft帐户（MSA）添加到您的目录，目前也不支持将用户帐户用于其他任何内容，包括PowerShell。
• 每个目录都有一个初始域，以“.onmicrosoft.com”结尾。
• 如果有任何用户使用该域，您将无法删除域。如果不，则可以使用Azure门户（“DOMAINS”部分）删除域，只需忘记该目录。
• 正如@Rick Rainey所说，您目前无法删除目录，但可以将其留空。
• 目前，DirSync是一种单向同步，其中所有内容都是在本地掌握的。