问题标签 [azure-gov]

我正在尝试通过图形 api 从政府租户那里获取电子邮件列表，它一直运行良好，直到上周。我正在使用客户端凭据流。上周，当我尝试在政府租户中授权我的应用程序时，我开始收到以下错误：

oauthlib.oauth2.rfc6749.errors.InvalidClientIdError: (invalid_request) AADSTS900441: Requests to applications hosted in the public cloud are not supported for USGov tenants.

有没有办法授权来自公共天蓝色云的应用程序从政府租户读取数据？

编辑：代码示例和调试日志

基本上，当我尝试获取访问令牌时，我看到了这个错误。租户管理员已将 Adminconsent 提供给我的应用程序。该代码为政府租户工作了一个月左右，然后突然停止工作。

我正在尝试将 Azure DevOps 服务器的本地实例部署到 Azure 政府订阅中的 VM（从本质上讲，它似乎不支持标准 DevOps）。

此模板在 Microsoft 的支持材料中直接引用：

https://github.com/usri/deploy_DevOps_Server_AzureSQL

所有引用的资源都是为了让该服务器运行而从头开始创建的。

这需要具有存储在 Key Vault 中的关联密码的 AAD 帐户。但是，我每次尝试运行模板都会在“写入 VirtualMachines”步骤中返回以下错误（当所有其他组件都通过时）：

客户端有权'Microsoft.Compute/images/read'对范围执行操作'(MY_SUBSCRIPTION)\(MY_RESOURCEGROUP)\(VM)'，但当前租户'(MY_KEYVAULT)'无权访问链接订阅“（带有部署文件的模板中的 ID）”

在我看来，这似乎无法从 Key Vault 中检索到密码 - 这是 Secret 的格式问题吗？某个地方的访问控制问题？我已经尝试了许多不同的组合。希望这只是一个微不足道的问题..

我们的 Azure 帐户是美国政府。我正在尝试使用“工作或学校帐户”身份验证在 VS 2019 中创建一个新项目。使用“云 - 单一组织”，我提供了我的域（例如 mydomain.onmicrosoft.com）。但是它无法找到我的域，因为它正在查找 microsoftonline.com 而不是 microsoftonline.us（政府域平台）。错误是：

无效的域名。在“https://login.microsoftonline.com/mydomain.onmicrosoft.com/FederationMetadata/2007-06/FederationMetadata.xml”中未找到域元数据。发生这种情况是因为它应该使用 login.microsoftonline.us 而不是 .com

我怎样才能让它与美国政府域一起使用？我已经在 VS 中将环境设置为 Azure 美国政府，所以我不确定 VS 应该在哪里查看。

我们在公共 Azure 门户中注册了一个应用程序（带有客户端 ID 和密码），我们已经使用了一段时间。它设置为使用 OAuth2 并且是多租户的，并且已被许多商业客户成功用于检索 Sharepoint 数据。

美国政府租户的客户是否也可以使用此应用程序，还是我们需要设置一个新应用程序？我遇到了一个帖子，建议这曾经可以工作，但最近已经收紧了。也许我们需要为每个美国政府租户/客户设置一个新的应用程序？到目前为止，我还没有在文档中找到太多关于此的内容，因此任何链接都值得赞赏！

到目前为止，我们有两个美国政府客户尝试完成 OAuth2 流程，但每个客户都收到不同的错误：

1. AADSTS900441“美国政府租户不支持对托管在公共云中的应用程序的请求”
2. AADSTS7000215 '提供了无效的客户端密码'

到目前为止，我们为支持这些客户所做的唯一更改是身份验证端点 ( https://login.microsoftonline.com -> https://login.microsoftonline.us )。也许我们还需要更新其他内容？

我有一个本地数据库，它使用链接服务器与公共云上的 Azure SQL Sever VM 通信。现在我们需要将本地数据库移动到 Azure 政府云。

迁移到 Azure Gov 云后，如何维护 Gov 云和公共云上的 SQL 服务器之间的跨数据库查询连接？我的理解是无法在政府云和本地云之间维护全球 vnet 对等互连。

有没有办法在迁移后保持跨数据库查询的功能完好无损？

两者都在其网站上提供隐私、合规和安全菜单，并重定向到合规产品。那么，我们如何区分我们是出于什么目的，您是其中之一还是两者都是问题。我的团队正在编写有关定价和合规性的文档，我们需要分离需求。欣赏任何信息。谢谢

我想在 Azure 美国政府上测试一些 Azure AD 功能，但我不知道如何。对于普通的天蓝色活动目录，我会去 demo.microsoft.com 并创建一个租户。

在那里，唯一与政府相关的选项是“全球政府”，但没有任何迹象表明它实际上在 Azure 政府云上。

此外，在创建租户后，它说它在北美，带有“全球政府”内容包，对我来说这意味着它在正常的 Azure 上。

所以基本上，问题是在哪里创建一个演示帐户以及如何登录到门户（仍然是portal.azure.com）？

我需要以编程方式收集有关总许可和分配许可的信息。此处描述的方式：https ://tech.nicolonsky.ch/manage-azure-ad-group-based-licensing-with-powershell/ - 不适用于 AzureUSGovernment 环境。出现以下错误：“Get-AADLicenseSku：AADSTS900382：Cross Cloud 请求中不支持机密客户端。”

所以，我正在寻找一种方法来调整它并在 AzureUSGovernment 上使用它。但是找不到main.iam.ad.ext.azure.us的资源ID据我了解，main.iam.ad.ext.azure.com的ID是74658136-14ec-4630-ad9b-26e160ff0f。但我不明白它来自哪里。预先感谢您的帮助。我根据原始脚本创建了一个脚本：

但它失败并出现以下错误：“Invoke-RestMethod：401 - 未经授权：由于凭据无效，访问被拒绝。服务器错误

401 - 未经授权：由于凭据无效，访问被拒绝。您无权使用您提供的凭据查看此目录或页面。”

我尝试使用用户帐户和服务主体。全局管理员角色分配给两者。

尝试获取有关虚拟机的信息时，遇到以下错误：

这是否意味着这get()不是一个有效的函数compute_client.virtual_machines？它说它在文档中是有效的，但我不确定为什么会出现这个错误。这是我的实现，我使用 call vm_data, vm_status = get_azure_vm(key.RESOURCE_GROUP, key.VIRTUAL_MACHINE_NAME)。我相信我所有的凭据都是正确的。

我正在使用具有基本 URL 的 Azure 政府帐户portal.azure.us。我正在尝试azcopy在我的 macOS 上使用可执行文件并运行命令./azcopy login --tenant-id=<tenant ID>。我 100% 确定我使用的租户 ID 是正确的。但是，我收到以下错误：

这是因为我没有正确登录 Azure 政府帐户吗？我怎样才能让这个命令运行？