Question

我正在尝试访问Azure AD图API。我已成功将用户添加到我的测试环境（ADFS）并将其域名更改为{mytestdomain}.onmicrosoft.com。使用Azure AD Connect的密码同步有效。

现在我已相应地设置了生产环境（包括ADFS），现在我正在同步用户，但显然无法将域名更改为{mydomain}.onmicrosoft.com.用户现在拥有{mydomain}.net我正在将用户同步到Azure AD中的已验证域。

尝试访问时 https://login.microsoftonline.com/{mydomain}.net/oauth2/token 使用以下内容（是的，我知道不建议使用grant_type，但这不是重点）

grant_type: password
username: {user}@{mydomain}.net
password: XXXX
resource: https://graph.windows.net
client_id: {Guid}

我明白了：

AADSTS70002：验证凭据时出错 AADSTS50126：用户名或密码无效

如果我使用像admin@{mydomain}.onmicrosoft.com这样的管理员，它可以正常工作。

在Azure门户网站中，我尝试将主域名从{mydomain}.onmicrosoft.com更改为{mydomain}.net，但这并没有什么区别。

它在管理门户网站中说：

“要为您的Azure Active Directory配置联合登录的{mydomain}，请在本地网络上运行Azure AD Connect。”

使用图形API时是否也适用？我是否必须在本地网络上设置联盟或者还有其他方法吗？

Answer 1

在azure门户网站中，我尝试更改主域名 {mydomain}.onmicrosoft.com到{mydomain}.net，但它没有差。

我不清楚同步步骤的详细信息。除了在Azure AD中验证您的自定义域之外，您还需要一些其他配置，例如 Azure AD登录配置。您可以在this document.

中查看更多详细信息

使用图形api时是否也适用？我需要设置吗？在我的本地网络上联合还是有另一种方式？

是的，由于您使用的是ADFS，因此您需要使用Federated SSO (with Active Directory Federation Services (AD FS))来允许您的用户使用相同的密码登录云端和本地资源。

您还可以在this official document中查看有关Azure AD Connect用户登录选项的更多详细信息。

希望它有所帮助！