标签: azure-active-directory

希望这是一个快速的答案：我正在开始使用 Azure AD 并且我一遍又一遍地看到一个术语是 Azure AD“租户”。它似乎是同义词并且可以与 Azure AD“目录”互换使用，但是是吗？

我可能只是迂腐，我猜这对其他人来说是显而易见的，但我找不到任何能清楚地解释这一点的东西。这是我发现的最接近的东西，即使这样也让我无法理解，将术语从“租户”切换到“目录”而没有解释：

借助 Microsoft Azure 提供的标识平台，租户只是您的组织在注册 Microsoft 云服务（例如 Azure 或 Office 365）时接收和拥有的 Azure Active Directory (Azure AD) 的专用实例。

每个 Azure AD目录都与其他 Azure AD目录不同。就像公司办公楼是仅针对您的组织的安全资产一样，Azure AD目录[...]

任何人都可以确认这两个术语之间的关系，以作记录吗？

为什么不恢复 6 个月前备份的 DC？

在我学习 Active Directory 域服务时，我在其中一个博客中遇到了这个问题，但我找不到详细的答案。所以请任何人向我解释这个概念。

我是一个 azure 新手，只是想更好地了解 Azure。我的问题特定于在 Azure 中备份 Linux VM。请帮助我更好地理解它。

我读到 Azure 备份会拍摄快照，然后将它们上传到保管库。我试图了解使用“Azure 备份”备份 VM 与通过“az vm”cli 命令获取 OS 磁盘和 azure VM 数据磁盘的快照有何不同？

这里的金库究竟是什么？它是在内部实现为带有 blob 容器的存储帐户还是类似于 AWS 中的 Glacier？

azure 备份或 osdisk 快照哪个更划算？

如果两个选项相似，即使用 azure 备份或拍摄操作系统磁盘/数据磁盘的快照。使用一个比另一个有优势吗？

操作系统磁盘的快照是在 Azure 中获取的，本质上是全局的还是以任何方式与区域相关联？如果某个区域出现故障，它们会变得不可用吗？

在蔚蓝门户，快照，什么是“快照状态”？为什么即使在从快照磁盘分离虚拟机后，快照状态对我来说也是“未附加”？

我正在尝试使用 Azure Active Directory 而不是使用传统的域控制器。

我想使用 Azure AD 对用户进行身份验证并推送 GPO 设置，例如文件夹重定向、驱动器映射和 Windows 10 隐私设置。

我创建了一个 Office 365 帐户，据我所知创建了 AD 后端。我还创建了一个 Azure 帐户，并使用 O365/Azure 用户详细信息将我的测试 Windows 10 PC 添加到 Azure 域。

我还订阅了 Azure AD 高级试用版。

正是在这一点上，我被卡住了。在 Azure 中的何处可以看到我添加的 PC？

另外，我可以使用 Azure AD 将传统的组策略设置推送到我的测试 PC，如果可以，我应该去哪里配置它？

或者我需要使用 Windows Intune 之类的东西吗？

Windows 2012 R2，完全更新/激活角色：ADDS、ADFS 安装 Azure AD Connect 最新版本（仅安装除更新之外的软件）

其他适用服务：Office 365（商业高级版许可）、Azure AD 高级版

密码写回有问题。我能够在本地 AD 上重置用户密码，并将更改反映在 Azure AD 和 Office 365 中，但是当我在 Office 365 上重置用户密码时，更改不会应用于其他地方。

我在此实例中使用内置管理员帐户作为 ADMA 并应用了适当的权限：*重置密码 *更改密码 *Write lockoutTime *Write pwdLastSet

正在使用的 Azure AD 服务帐户设置为全局管理员，Azure AD Connect 成功验证凭据。

值得一提的是，自从最初部署 Azure AD Connect 以来，令人垂涎的 31005 事件 ID 就没有出现在 Windows 应用程序事件日志中。

可能适用于此问题的事件日志错误：

事件 ID：0 来源：目录同步--“Microsoft Online Services 登录助手发生未知错误。联系技术支持。SetCredential() 失败。联系技术支持。(0x8009000B)”

事件 ID：109 来源：目录同步——“预取导入数据时失败。”

事件 ID：6801 来源：ADSync——“可扩展扩展返回了一个不受支持的错误。堆栈跟踪是：

“Microsoft.Online.Coexistence.ProvisionException：Microsoft Online Services 登录助手出现未知错误。联系技术支持。---> Microsoft.Online.Coexistence.Security.WindowsLiveException：SetCredential() 失败。联系技术支持。在 Microsoft.Online.Coexistence.Security.LiveIdentityManager.OpenIdentity(String federationProviderId, String userName, String password) 在 Microsoft.Online.Coexistence.ProvisionHelper.GetLiveCompactToken(String userName, String …

我正在尝试做一些我认为修复起来不会太复杂的事情。我的最终目标：我在一个 AD OU 中的某些用户需要使用 Office 365 中的某个许可证，而另一个 OU 中的不同用户需要获得不同的许可证。

我想运行的命令是：

Get-ADUser -Filter * -SearchBase "ou=test,dc=our,dc=domain,dc=edu" | Set-MsolUserLicense -AddLicenses ourorg:STANDARDWOFFPACK_IW_STUDENT

但这失败了：

Set-MsolUserLicense : The input object cannot be bound because it did not contain the information required to bind all mandatory parameters: ObjectId At line:1 char:111 + Get-ADUser -Filter * -SearchBase "ou=Test students,ou=Students,dc=campus,dc=org,dc=edu" | Set-MsolUserLicense <<<< -AddLicenses nwcu:STANDARDWOFFPACK_IW_STUDENT

单独地，这两个命令都有效。我可以选择 OU 中的所有用户，也可以手动使用 Set-MsolUserLicense 命令和 -UserPrincipalName 来许可单个用户。

这是因为 Get-ADUser 没有像 Set-MsolUserLicense 正在寻找的那样返回 ObjectID 吗？Get-ADUser 确实返回 ObjectGUID。如果我在这里走在正确的轨道上，有没有办法将这些映射到管道输入？

编辑：我知道这样做的流行方法涉及为此上传 CSV 文件，并且我知道我可以 CSV 导出这些用户，但我已经在 OU 中将它们整理得如此整洁，所以我很乐意这样做如果可能的话，现在导入/导出。 …

当我尝试通过提供用户名和密码使用 azure cli 登录时。我得到错误

az login -u myemail@email.com -p plaintextpassword

用户名可能无效。对于交叉检查，请尝试“az login”以通过浏览器进行身份验证。

当我使用具有相同用户名和密码的浏览器身份验证方法时，我可以登录。使用此过程，我可以选择“工作或学校帐户”或“个人帐户”。我选择“工作或学校帐户”并输入我的凭据。有没有办法使用命令行选项来选择它。

我正在使用 Azure Active Directory（高级版，具有完整的 MFA）。我已经设置了一个 VPN 网关，并希望用户能够使用他们的 Azure AD 用户名和密码（而不是证书）对其进行身份验证。

从我读到的所有内容来看，这应该是可能的——Azure MFA 提供了一个 RADIUS 服务器，Azure VPN 网关可以连接到一个 RADIUS 服务器。

但我不知道如何进行适配——在网关的 P2S 配置中，我需要提供一个 IP 地址和一个秘密。我可以从哪里获得 Azure AD MFA 服务器的那些？

我正在尝试将 SaaS 应用程序与自治（不与任何联合）Azure Active Directory 集成以用于 SSO。SaaS 应用程序（服务提供商）符合 SAML2（SP 启动），所以这应该可以工作。但是，在 SAMLRequest 中，SP 指定

<samlp:NameIDPolicy AllowCreate="true" Format="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" />

当 AAD 应答时，NameID 的格式为urn:oasis:names:tc:SAML:2.0:nameid-format:persistent.

很奇怪：MSDN 上的文档，“AuthnRequest 中的 NameIDPolicy 元素”段落将“未指定”列为可能的请求格式......

由于 SaaS 应用程序期望“未指定”而不是“持久”，因此它失败了。

有人知道使用 Azure AD 获取“未指定”格式的方法吗？

为了允许我们平台的用户使用他们的 Microsoft 帐户登录，我们根据文档在 Azure Active Directory 中创建了一个应用程序。我适当地配置了所有内容，直到注意到您需要成为经过验证的发布者才能让其他 Azure 租户的用户实际使用您的应用程序：

从 2020 年 11 月 9 日开始，没有经过验证的发布者，最终用户将无法再对新注册的多租户应用程序授予同意。

为了遵守这一点，我已根据文档注册了 Microsoft 合作伙伴网络，其中列出了以下要求：

• 已完成验证过程的有效 Microsoft 合作伙伴网络帐户的 MPN ID。此 MPN 帐户必须是您组织的合作伙伴全局帐户 (PGA)。
  我有我们帐户的全局 MPN ID

• 在 Azure AD 租户中注册的应用，并配置了发布者域。
  应用已配置，设置了我们的 Azure-AD 域 (company.tld)

• MPN 帐户验证期间使用的电子邮件地址的域必须与应用上配置的发布者域或添加到 Azure AD 租户的 DNS 验证自定义域匹配。
  我使用了我的公司电子邮件地址 (me@company.tld)，自定义域也经过 DNS 验证

• 必须授权执行验证的用户对 Azure AD 中的应用注册和合作伙伴中心的 MPN 帐户进行更改。
  我是两者的全局管理员

• 执行验证的用户必须使用多重身份验证登录。
  我已使用 MFA 登录

• 发布者同意 Microsoft 身份平台的开发人员使用条款。
  是的，我已经把我的灵魂卖给了微软

无论如何，在相应字段中输入我们的 MPN ID 后，会出现以下错误消息：

无法将经过验证的发布者添加到此应用程序。请联系您的管理员寻求帮助。[ AOXM7kbHnu1OFc9wRGbqMN]

我已经逐字复制了 ID，输入格式错误的 ID 会触发另一个错误，因此我相当确信它是正确的。
我研究并发现了几个关于这个问题的报告，等待 …