Несколько Azure AD. New-MsolServicePrincipal: доступ запрещен

Question

Несколько Azure AD. New-MsolServicePrincipal: доступ запрещен

Я хочу установить Azure Active Directory в качестве поставщика удостоверений для SharePoint 2013 Foundation. Я активировал пробную версию Azure из учетной записи, которая является частью другой инфраструктуры (инфраструктуры моей компании). Итак, что я имею сейчас:

Виртуальная машина Azure с установленной SharePoint 2013 Foundation. Создано мной для тестирования
Azure Active Directory, который является частью инфраструктуры моей компании. У меня нет никаких разрешений даже на просмотр. Но я вижу это, так как моя компания использует это
Azure Active Directory со мной в качестве глобального администратора (my-ad-name). Создано мной для тестирования
Услуги контроля доступа. Создано мной для тестирования

Поэтому, следуя статье Использование проверки подлинности Microsoft Azure Active Directory для SharePoint 2013, я получаю сообщение об ошибке

PS C:\Users\tu1> New-MsolServicePrincipal -ServicePrincipalNames @("https://my-ad-name.accesscontrol.windo
ws.net/") -DisplayName "Test ACS Namespace" -Addresses $replyUrl
The following symmetric key was created as one was not supplied m2XQJAeUKEQztjn/sEDJwy8TbG8jPxpw6cemkm8Fnkw=
New-MsolServicePrincipal : Access Denied. You do not have permissions to call this cmdlet.
At line:1 char:1
+ New-MsolServicePrincipal -ServicePrincipalNames @("https://my-ad-name.accesscon ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (:) [New-MsolServicePrincipal], MicrosoftOnlineException
    + FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.AccessDeniedException,Microsoft.Online.Admini
   stration.Automation.NewServicePrincipal

Может ли это быть из-за Azure AD, на которую у меня нет прав? Существуют ли способы подключения службы контроля доступа только к той AD, которая мне нужна?

2

azure azure-active-directory sharepoint-2013 azure-powershell accesscontrolservice

Источник

user4511982 02 дек '15 в 14:10

1 ответ

Решение

Другие вопросы по тегам azure azure-active-directory sharepoint-2013 azure-powershell accesscontrolservice

user325697 02 дек '15 в 15:28 2015-12-02 15:28 · Accepted Answer · 2015-12-02 15:28

При подключении к Azure AD PowerShell с помощью Connect-MsolServiceимя пользователя, которое вы используете для входа, определит, в каком каталоге вы работаете. Внешние пользователи (пользователи из одного каталога, присутствующего во втором каталоге) не могут быть использованы.

Скажем, например, у вас есть пользователь bob@contoso.comв каталоге, который мы будем идентифицировать по проверенному доменному имени contoso.com, Если bob@contoso.com использует портал Azure для создания нового каталога (определяется здесь по его начальному доменному имени fabrikam.onmicrosoft.com), первый пользователь (и администратор) будет внешним пользователем bob@contoso.com,

Чтобы подключиться к Azure AD PowerShell в контексте fabrikam.onmicrosoft.comВ этом каталоге должен быть создан новый "нативный" пользователь. Так, например, если admin@fabrikam.onmicrosoft.com создается как администратор в fabrikam.onmicrosoft.comэта новая учетная запись пользователя сможет войти в Azure AD PowerShell и создать нового участника службы.

Примечание. Вы всегда можете подтвердить, в каком каталоге вы работаете, используя Get-MsolCompanyInformation,