PowerShell - 使用Microsoft帳戶連接到Azure Active Directory

Question

我有一個Azure訂閱，訂閱管理員帳戶是Microsoft帳戶。 然后我添加了另一個Microsoft帳戶作為共同管理員。 我被告知，當我添加共同管理員時，它會作為Guest用戶添加到我的訂閱的默認AD中。 我真正想要實現的是將用戶類型從Guest更改為Member 。 為此，我建議使用Azure AD PowerShell，這是我正在努力的地方。

我已經安裝了相關的PS模塊（基於以下鏈接： https ： //msdn.microsoft.com/en-us/library/azure/jj151815.aspx ）。

所以這就是我在做的事情：

首先，這是我發出的命令：

$msolcred = get-credential

我收到提示輸入我提供的憑據，然后運行以下命令：

connect-msolservice -credential $msolcred

當我這樣做時，我收到以下錯誤：

connect-msolservice : The user name or password is incorrect. Verify your user name, and then type your password again.
At line:1 char:1
+ connect-msolservice -Credential $cred -Verbose
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (:) [Connect-MsolService], MicrosoftOnlineException
    + FullyQualifiedErrorId : 0x80048821,Microsoft.Online.Administration.Automation.ConnectMsolService

我甚至嘗試將用戶名作為domainname.onmicrosoft.com\\username但仍然得到相同的結果。

所以我的問題是：

• 是否可以使用Microsoft帳戶通過PowerShell連接到Azure AD？
• 如果可能，那我該如何指定用戶名？ 我已經嘗試了username以及domainname\\username ，我得到了同樣的錯誤。
• 如果不可能，那么替代解決方案是什么？ 我應該只在該AD中創建一個用戶並將該用戶置於有權管理用戶的角色中（因為這是我想要做的）？

任何關於此的見解都將受到高度贊賞。

Answer 1

（更新2018-04-23以闡明如何使用AzureAD（v2）模塊執行此操作。）

AzureAD （v2）PowerShell模塊接受Connect‑AzureAD的‑TenantId參數，該參數可以是Guid租戶ID，也可以是Azure AD租戶中的任何經過驗證的域名。 這樣做將允許您使用外部帳戶登錄（例如，您個人Microsoft帳戶，或來自其他Azure AD租戶的工作或學校帳戶，只要此帳戶先前已被邀請進入租戶）：

Connect-AzureAD -TenantId "contoso.com"

MSOnline （v1）模塊沒有等效參數，但它接受‑AdGraphAccessToken和‑MsGraphAccessToken ，它們是訪問Azure AD Graph API（ https://graph.windows.net ）和Microsoft Graph API（分別是https://graph.microsoft.com ）。 雖然您可以使用ADAL（例如）為您的特定租戶獲取這些訪問令牌（允許您使用外部用戶），但為此向Azure AD租戶創建“本地”帳戶可能更簡單。

目前不支持使用Microsoft帳戶登錄AAD PowerShell。 您的方法（創建一個“本地”的新用戶）是要走的路。

Answer 2

對於那些在將來遇到這個問題的人來說，之前的答案似乎仍然是正確的。 基本上，您必須創建一個目錄本機的新帳戶。 在PowerShell中運行connect-msolservice時，此帳戶可用於登錄，然后您可以運行set-msoluser將用戶從“Guest”轉換為“Member”。

以下博客文章詳細介紹了執行此操作的詳細說明。 請注意，如果您的全局管理員帳戶不是工作帳戶或學校帳戶，則需要先遵循附錄。 另外，我在博客文章的評論部分添加了一些重要的細節。

https://blogs.msdn.microsoft.com/dstfs/2015/12/23/issues-with-azure-active-directory-guest-users-in-aad-backed-visual-studio-team-services-accounts/

作為參考，使用set-msoluser的類似問題和解決方案可以在這個論壇帖子中找到： https ：//social.msdn.microsoft.com/Forums/azure/en-US/469baa2d-7ff1-4e17-a8f0-f257cbdbf50b/ 不能見最活躍的目錄項，在最湛藍的門戶網站？論壇= WindowsAzureAD