2

我想将我的 Azure Active Directory 设置为 SharePoint 2013 Foundation 的身份提供者。我从属于另一个基础架构(我公司的基础架构)的帐户激活了 Azure 试用版。所以我现在拥有的:

  • 安装了 SharePoint 2013 Foundation 的 Azure VM。由我创建用于测试目的
  • Azure Active Directory,它是我公司基础设施的一部分。我什至没有任何权限查看它。但是我看到它,因为我的公司使用它
  • Azure Active Directory 与我作为全局管理员 (my-ad-name)。由我创建用于测试目的
  • 访问控制服务。由我创建用于测试目的

因此,按照文章使用 Microsoft Azure Active Directory 进行 SharePoint 2013 身份验证,我得到了错误

PS C:\Users\tu1> New-MsolServicePrincipal -ServicePrincipalNames @("https://my-ad-name.accesscontrol.windo
ws.net/") -DisplayName "Test ACS Namespace" -Addresses $replyUrl
The following symmetric key was created as one was not supplied m2XQJAeUKEQztjn/sEDJwy8TbG8jPxpw6cemkm8Fnkw=
New-MsolServicePrincipal : Access Denied. You do not have permissions to call this cmdlet.
At line:1 char:1
+ New-MsolServicePrincipal -ServicePrincipalNames @("https://my-ad-name.accesscon ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (:) [New-MsolServicePrincipal], MicrosoftOnlineException
    + FullyQualifiedErrorId : Microsoft.Online.Administration.Automation.AccessDeniedException,Microsoft.Online.Admini
   stration.Automation.NewServicePrincipal

可能是因为我没有权限的 Azure AD 吗?有没有办法仅将访问控制服务与我需要的 AD 连接起来?

4

1 回答 1

6

当您使用 连接到 Azure AD PowerShellConnect-MsolService时,您用于登录的用户名将定义您在哪个目录中工作。不能使用外部用户(最初来自第二个目录中的一个目录的用户)。

例如,假设您有 user bob@contoso.com,位于我们将通过已验证域名识别的目录中contoso.com。如果bob@contoso.com使用 Azure 门户创建新目录(此处由其初始域名标识fabrikam.onmicrosoft.com),则第一个用户(和管理员)将是外部用户 bob@contoso.com

为了在 的上下文中连接到 Azure AD PowerShell,需要在该目录中创建fabrikam.onmicrosoft.com一个新的“本机”用户。因此,例如,如果admin@fabrikam.onmicrosoft.com在 中创建为管理员fabrikam.onmicrosoft.com,则该新用户帐户将能够登录到 Azure AD PowerShell 并创建新的服务主体。

注意:您始终可以使用Get-MsolCompanyInformation.

于 2015-12-02T15:28:47.233 回答