为什么作为订阅的共同管理员我无法编辑Active Directory？

Question

客户让我成为Azure订阅的共同管理员。但是，我无法编辑他的Active Directory，即添加/编辑用户，创建应用程序等。

为什么我不能访问它？我想也许Subscription由AD拥有，而不是相反。

AD中的每个角色级别允许什么？有

• 全球管理员
• 结算管理员
• 服务管理员
• 用户管理
• 密码管理

Answer 1

我认为导致此错误的主要原因是，当与Microsoft帐户的共同管理员添加到订阅时，它会以Guest用户类型添加到订阅AD中。为了使您能够访问该AD以便可以在AD上执行操作，您需要将用户类型从Member更改为Guest。我与我们产品的一个用户有完全相同的问题，下面描述的步骤解决了这个问题。

要更改用户类型，需要使用AD PowerShell Cmdlet。这个过程相当复杂，需要由您的客户完成。

1. 首先，请与您的客户核实他们自己是否使用Microsoft帐户登录门户网站。如果是，那么他们需要在Azure AD中创建用户。请参阅此主题以了解为何需要这样做：PowerShell - Connecting to Azure Active Directory using Microsoft Account。
2. 接下来，他们需要使用此用户帐户登录，因为需要在首次登录时更改用户密码。
3. 安装AD模块。您可能会发现这些链接可用于此目的：https://msdn.microsoft.com/en-us/library/azure/jj151815.aspx#bkmk_installmodule，http://www.microsoft.com/en-us/download/details.aspx?id=41950（请选择64位版本）和http://go.microsoft.com/fwlink/p/?linkid=236297。
4. 启动PowerShell并执行以下命令：

$cred = Get-Credential  #In the window that shows up, please specify the local AD user credentials.

connect-msolservice -Credential $cred

(Get-MsolUser -SearchString "your microsoft account email address").UserType #This should output "Guest". If it doesn’t, please stop and do not proceed further as there might be some other issue.

(Get-MsolUser -SearchString "your microsoft account email address") | Set-MsolUser -UserType Member

(Get-MsolUser -SearchString "your microsoft account email address").UserType #This should now output "Member"

如果问题仍然存在，请让您的客户登录门户网站，从AD用户列表中删除您的用户记录并重新添加。这也应该解决这个问题。

Answer 2

答案是我需要在Azure AD域中设置为全局管理员。

Answer 3

以上两个答案似乎都是正确的。

作为初始订阅管理员，您不会自动成为Azure AD管理员。您需要在目标Azure AD上显式角色授予。

第二个方面是所用帐户的类型。如果它在当前的Azure AD或Microsoft Live帐户中一切都很好。 如果该帐户是外部Azure AD的一部分，则默认情况下用户类型为“Guest”（可以登录，但如果分配了“Global admin”，则无法控制事件）。因此，应执行上面突出显示的PowerShell命令以将用户类型更改为“Member”。

可以找到一些更有用的信息here（它被称为Visual Studio Team Services问题，但实际上适用于大多数Azure相关服务）。