PowerShell - 使用Microsoft帐户连接到Azure Active Directory

Question

我有一个Azure订阅，订阅管理员帐户是Microsoft帐户。 然后我添加了另一个Microsoft帐户作为共同管理员。 我被告知，当我添加共同管理员时，它会作为Guest用户添加到我的订阅的默认AD中。 我真正想要实现的是将用户类型从Guest更改为Member 。 为此，我建议使用Azure AD PowerShell，这是我正在努力的地方。

我已经安装了相关的PS模块（基于以下链接： https ： //msdn.microsoft.com/en-us/library/azure/jj151815.aspx ）。

所以这就是我在做的事情：

首先，这是我发出的命令：

$msolcred = get-credential

我收到提示输入我提供的凭据，然后运行以下命令：

connect-msolservice -credential $msolcred

当我这样做时，我收到以下错误：

connect-msolservice : The user name or password is incorrect. Verify your user name, and then type your password again.
At line:1 char:1
+ connect-msolservice -Credential $cred -Verbose
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (:) [Connect-MsolService], MicrosoftOnlineException
    + FullyQualifiedErrorId : 0x80048821,Microsoft.Online.Administration.Automation.ConnectMsolService

我甚至尝试将用户名作为domainname.onmicrosoft.com\\username但仍然得到相同的结果。

所以我的问题是：

• 是否可以使用Microsoft帐户通过PowerShell连接到Azure AD？
• 如果可能，那我该如何指定用户名？ 我已经尝试了username以及domainname\\username ，我得到了同样的错误。
• 如果不可能，那么替代解决方案是什么？ 我应该只在该AD中创建一个用户并将该用户置于有权管理用户的角色中（因为这是我想要做的）？

任何关于此的见解都将受到高度赞赏。

Answer 1

（更新2018-04-23以阐明如何使用AzureAD（v2）模块执行此操作。）

AzureAD （v2）PowerShell模块接受Connect‑AzureAD的‑TenantId参数，该参数可以是Guid租户ID，也可以是Azure AD租户中的任何经过验证的域名。 这样做将允许您使用外部帐户登录（例如，您个人Microsoft帐户，或来自其他Azure AD租户的工作或学校帐户，只要此帐户先前已被邀请进入租户）：

Connect-AzureAD -TenantId "contoso.com"

MSOnline （v1）模块没有等效参数，但它接受‑AdGraphAccessToken和‑MsGraphAccessToken ，它们是访问Azure AD Graph API（ https://graph.windows.net ）和Microsoft Graph API（分别是https://graph.microsoft.com ）。 虽然您可以使用ADAL（例如）为您的特定租户获取这些访问令牌（允许您使用外部用户），但为此向Azure AD租户创建“本地”帐户可能更简单。

目前不支持使用Microsoft帐户登录AAD PowerShell。 您的方法（创建一个“本地”的新用户）是要走的路。

Answer 2

对于那些在将来遇到这个问题的人来说，之前的答案似乎仍然是正确的。 基本上，您必须创建一个目录本机的新帐户。 在PowerShell中运行connect-msolservice时，此帐户可用于登录，然后您可以运行set-msoluser将用户从“Guest”转换为“Member”。

以下博客文章详细介绍了执行此操作的详细说明。 请注意，如果您的全局管理员帐户不是工作帐户或学校帐户，则需要先遵循附录。 另外，我在博客文章的评论部分添加了一些重要的细节。

https://blogs.msdn.microsoft.com/dstfs/2015/12/23/issues-with-azure-active-directory-guest-users-in-aad-backed-visual-studio-team-services-accounts/

作为参考，使用set-msoluser的类似问题和解决方案可以在这个论坛帖子中找到： https ：//social.msdn.microsoft.com/Forums/azure/en-US/469baa2d-7ff1-4e17-a8f0-f257cbdbf50b/ 不能见最活跃的目录项，在最湛蓝的门户网站？论坛= WindowsAzureAD