删除ADFS信任关系后恢复Azure Active Directory

时间:2014-02-18 13:54:26

标签: azure adfs azure-active-directory

我以前创建(成功)了一个Windows Azure Active Directory,添加了一个自定义域,并使用内部部署ADFS2.0服务器为单点登录和目录同步配置了它。到目前为止一切都很好。

意识到我应该将自定义域附加到现有的WAAD而不是新的WAAD,然后我决定删除新域。为确保不存在删除内部部署AD中任何对象的风险,我首先删除了我们的内部部署ADFS服务器上的信任关系。

不幸的是,现在这让我无法使用Azure Active Directory PowerShell cmdlet来管理WAAD - Connect-MSOLService返回“类型异常”Microsoft.Online.Administration.Automation.MicrosoftOnlineException '被扔了。“如果我使用订阅所有者的Microsoft帐户凭据(但电子邮件地址恰好与我添加的自定义域位于同一域中),或者“用户名或密码不正确。请验证您的用户名,然后尝试再次“如果我使用该目录的另一个全局管理员的凭据,其电子邮件地址不在自定义域中。

这两组凭据都允许成功登录门户网站。

不幸的是我现在无法删除WAAD,因为它包含对象 - 并且没有PowerShell访问权限,我不相信我可以批量删除从内部部署同步的~500个用户和组,然后再删除信任。

知道我如何恢复信任关系,成功连接PowerShell或删除不需要的目录?

非常感谢!

1 个答案:

答案 0 :(得分:2)

尝试以下方法(我相信你已经完成了大部分工作,但也许你错过了一步):

  1. 登录Azure门户(https://manage.windowsazure.com)并导航至ACTIVE DIRECTORY。
  2. 选择您无法通过PowerShell访问的目录,然后单击“添加用户”。
  3. 在“用户类型”下,选择“您单位中的新用户”并选择初始域下的用户名(例如admin @ contoso.onmicrosoft.com )。
  4. 填写下一页,并确保指定“全局管理员”角色。确保在最后一步中复制密码。
  5. 创建用户后,您需要重置密码。一种简单的方法是启动新的浏览器会话并导航到https://portal.microsoftonline.com。系统将提示您重置密码。
  6. 现在转到PowerShell并使用您刚刚创建的新用户帐户尝试Connect-MsolService。您现在应该能够删除所有对象。
  7. 一些注意事项:

    • 即使您能够通过Azure门户将Microsoft帐户(MSA)添加到您的目录,目前也不支持将用户帐户用于其他任何内容,包括PowerShell。
    • 每个目录都有一个初始域,以“.onmicrosoft.com”结尾。
    • 如果有任何用户使用该域,您将无法删除域。如果,则可以使用Azure门户(“DOMAINS”部分)删除域,只需忘记该目录。
    • 正如@Rick Rainey所说,您目前无法删除目录,但可以将其留空。
    • 目前,DirSync是一种单向同步,其中所有内容都是在本地掌握的。