在Powershell上使用Azure Active Directory進行身份驗證

Question

我正在嘗試探索Azure Active Directory V2 PowerShell模塊的功能

我有一個Azure帳戶，並且已經建立了一個具有多個用戶的Active Directory。

我的第一個目標很簡單：向我顯示用戶列表。

所以我輸入：

Connect-AzureAD

出現一個對話框，然后輸入我的用戶帳戶和密碼。 返回類型為Microsoft.Open.Azure.AD.CommonLibrary.PSAzureContext對象。

然后輸入

Get-AzureADUser

錯誤是：

Get-AzureADUser：執行GetUsers時發生錯誤

代碼：Authentication_Unauthorized

消息：找不到用戶

HttpStatusCode：禁止

我仍然能夠使用Azure RM Powershell模塊列出用戶。 以下代碼有效：

Add-AzureRmAccount
Get-AzureRmADUser

---

如何使Get-AzureADUser正常工作？

Answer 1

cmdlet Connect-AzureAD建立與ADD domian的連接，成功登錄后將顯示確認信息：

PS C:\windows\system32> connect-azuread

Account                                Environment Tenant
-------                                ----------- ------
jasontest1@xxxxxx.onmicrosoft.com AzureCloud  xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

如果用戶連接到具有管理特權的 AAD域，則可以使用此cmdlet Get-AzureADDomain連接-將顯示有關該域的信息：

PS C:\windows\system32> get-azureaddomain

Name                                        AvailabilityStatus AuthenticationType
----                                        ------------------ ------------------
hcl.com                                                        Managed
msgamestudios.com                                              Managed
foobar.local                                                   Managed
multimap.com                                                   Managed
skypestaytogether.com                                          Managed
insightsquarterly.com.au                                       Managed
calanit.onmicrosoft.com                                        Federated
msft.ccsctp.net                                                Managed
ruffiangames.com                                               Managed
xn--m1bg0b0byewac1j8b.com                                      Managed
VoicesforInnovation.org                                        Managed
shaanximic.com                                                 Managed
www.yunnanmic.com                                              Managed
wsmbela.pss.com                                                Managed
fornax.off                                                     Managed
api.staging.yammer.com                                         Managed
codenauts.net                                                  Managed
acompli.com                                                    Managed
testdomains.co                                                 Managed
microsoft.hr                                                   Managed
Bayportali.mmdservice.com                                      Managed
contoso.com                                                    Managed
api.swrepository.com                                           Managed
Equivio.com                                                    Managed
sunshine.am                                                    Managed
microsoftaffiliates.com                                        Managed

如果用戶沒有管理員權限，我們將得到與您相同的錯誤。

Get-AzureADDomain : Error occurred while executing GetDomains
Code: Authentication_Unauthorized
Message: User was not found
HttpStatusCode: Forbidden

原因是， 該cmdlet GetAzureADDomian沒有指定租戶，因此已建立與用戶沒有管理員特權的domian的連接。

為了確保連接到預期的AAD domian，必須在對Connect-AzureAD cmdlet的調用中指定租戶ID 。

PS C:\windows\system32> Connect-AzureAD -TenantId

Answer 2

如此處已回答，請使用：

PS C:\windows\system32> Connect-AzureAD -TenantId {YOUR_TENANT_ID}
Example:
PS C:\windows\system32> Connect-AzureAD -TenantId ce1af0ab-ae35-4f60-8f2d-944444444444

執行Connect-AzureAd時，使用我們得到的TenantId是一個常見錯誤，如下所示：

但是，請使用來自Azure Portal --> Azure Active Directory --> Properties --> Directory Id的TenantId 。

Directory Id = TenantId 。