我有一个场景,客户端没有本地 AD 并且想要使用 Azure AD。现在我的第一个问题是,我是否应该使用一个帐户(例如 [email protected])将所有计算机加入 Azure AD,并在加入后让其他用户使用自己的电子邮件地址登录?
第二个问题,那么,这里管理员保留本地管理员帐户,新登录的用户如果没有管理员的电子邮件帐户就无法进行更改?
目前365中只有[email protected]拥有全局管理员权限。
我在任何地方都找不到明确的答案。非常感谢您的帮助。
在我拥有有效Azure AD Premium 2许可证的 Azure AD 租户中,我启用了Self-Service Group Management。
用户能够创建安全组,然后使用可用选项之一配置成员资格策略:
- 此组需要所有者批准
- 该群组对所有用户开放加入
- 只有该群组的所有者才能添加成员
这也可以在 Azure AD 门户中配置吗?如果有,在哪里?
在我个人的 MS 365 Tenant(Business Basic 订阅)中,当我邀请外部用户参加 Teams 会议时,他们可以加入会议,但只有在我这个组织者加入之后。我希望他们能够在我到达之前加入(或者如果我根本不在那里)。在会议选项中,我确实为选项“谁可以绕过大厅?”设置了“所有人”。我是否缺少其他设置以允许外部来宾能够随时加入(在 Azure AD 控制面板中?)会议?
我已将 Azure 文件共享设置为 Azure AD Kerberos 作为身份验证源。
在最终用户的 PC 上运行连接脚本(Active Directory 身份验证)时出现以下错误。
PC 已加入 Azure AD,用户使用 Azure AD 帐户登录。
当用户不在本地域中时,他们需要能够访问 Azure 文件共享。
New-PSDrive:系统无法联系域控制器来为身份验证请求提供服务。请稍后再试
At C:\Users\testuser\Desktop\connect-files-share.ps1:4 char:5 +
New-PSDrive -Name Z -PSProvider FileSystem -Root "\storage ... ++ CategoryInfo : InvalidOperation: (Z:PSDriveInfo) [New-PSDrive], Win32Exception + FullyQualifiedErrorId : CouldNotMapNetworkDrive,Microsoft.PowerShell.Commands.NewPSDriveCommand
Azure 网站指出:“Azure AD Kerberos 身份验证允许用户通过 Internet 连接到 Azure 文件,而无需与域控制器保持一致。”
我在 Azure AD 中创建了一个应用程序,并且已经验证了 MPN ID 以与该应用程序关联。
添加 MPN ID 时出现错误:
This capability is not supported in an email-verified tenant.
租户中有一个自定义域,它显示为“已验证”。验证是通过将文件上传到json文件.well-known夹来完成的。
请澄清,我如何才能正确地处理这个问题并正确关联 MPN ID。我确信这很简单,但经过几个小时的寻找,我找不到与此相关的任何内容。
我发现的唯一类似的是这篇文章: https ://learn.microsoft.com/en-us/answers/questions/289672/34email-verified-tenant34-error-when-attempting-to.html?childToView=1084329
但它并没有明确在哪里使用TXT记录实际继续验证(我知道如何添加TXT记录)。但我什至认为没有必要,因为域验证是使用 JSON 文件和其中的代码完成的 - 我发现的所有 TXT 记录可能是域的旧验证方法。
有什么想法吗?
问题:
- 我有一个分配给 office 365 组 A 的内部用户列表。我们现在想要创建其他 office 365 组(B、C、...),这些组将继承/同步组 A 中的所有用户并允许额外的外部或要添加/删除的内部用户(每个团队唯一)。实现这一结果的最佳架构是什么?
我试过的:
- 在 Azure AD 中,您可以将办公室组成员身份类型从Assigned更改为Dynamic user。例如,这允许我将每个用户的部门属性设置为“组 A”,然后为每个组创建动态成员资格规则,以检查这些部门属性以分配用户。
- 问题在于我们有 30 多个组和 100 多个用户。这成为为每个用户分配适当的属性和为每个组分配规则的大量工作。
如果有更好的架构实现,我将不胜感激。提前致谢!
我们在租户 (xyz.onmicrosoft.com) 中托管应用服务,并且我使用 Azure Identity 服务进行身份验证。我想向另一个 Azure 租户 (customerxyz.onmirosoft.com) 中的用户授予对应用程序的访问权限。
一种可能性是邀请每个用户作为访客单独加入我们的租户。然后为他们分配对企业应用程序的访问权限。
理想情况下,我想使用另一个 Azure 租户 (customerxyz.onmirosoft.com) 中的组来控制对企业应用程序的访问。这可能吗?我有什么替代第一种方法的方法?
我正在尝试从我的应用程序中获取对 Azure Log Analytics 的读取权限,并执行了以下步骤:
- 在 AD 门户中的“应用注册”下注册的应用
- 新增平台:Web;重定向 URI:http://localhost/auth 在身份验证选项卡下
- 请求并授予此应用 API 读取 Log Analytics 数据的权限:Log Analytics API:读取数据:类型应用程序:授予状态
然后,使用此代码,尝试阅读:
SECRET="XXXXXXXXXXX"
CLIENT="e7207353-ee8d-4bcc-9580-bfaaf2c0da7e"
URI="http://localhost/auth"
RESOURCE="management.azure.com"
TARGET="https://$RESOURCE/subscriptions/XXXXXXX/resourceGroups/myRG01/providers/Microsoft.OperationalInsights/workspaces/law-01/api/query?api-version=1"
# (1) Obtain token
RESP=$(curl --silent -H "Content-Type: application/x-www-form-urlencoded" -X POST \
-d "grant_type=client_credentials&client_id=${CLIENT}&resource=https://${RESOURCE}&client_secret=${SECRET}&redirect_uri=${URI}" \
https://login.microsoftonline.com/...orgTenantID.../oauth2/token )
TOKEN=$(echo "$RESP" | jq -r .access_token)
# (2) Call Log Analytics API
curl --silent -X POST \
-H "Authorization: Bearer $TOKEN" -H "Content-Type: application/json" \
-d '{"query": "AzureActivity | limit 10"}' $TARGET | jq
但在成功获取令牌时,调用 Log Analytics 时出现“AuthorizationFailed”:
{
"error": {
"code": "AuthorizationFailed",
"message": "The client '02531282-409c-4752-8b10-4f995ceaac5d' with object id '02531282-409c-4752-8b10-4f995ceaac5d' does not have authorization to perform action 'microsoft.operationalinsights/workspaces/query/read' over scope '/subscriptions/XXXXXXX/resourceGroups/myRG01/providers/Microsoft.OperationalInsights/workspaces/law-01/api/query' or the scope is invalid. If access was recently granted, please refresh your credentials."
}
}
我哪里错了?访问权限是几天前授予的,因此传播中的任何延迟都有望过去。无论如何,对于这种情况,“刷新您的凭据”意味着什么?还要别的吗?
感谢你的帮助。谢谢你。
=== 发布答案更新 === 使用 API 访问 loganalytics 数据,如此处所述- https://learn.microsoft.com/en-us/azure/azure-monitor/logs/api/request-format上面的代码应该是:
RESOURCE="api.loganalytics.io"
TARGET="https://$RESOURCE/v1/workspaces/...LAW_ID.../query"
您好,当我将 Azure 日志导出到 csv 时,我得到了 Excel 无法识别为有效日期时间格式的这种日期时间格式:
2022-10-19T12:05:58Z
这是将其转换为 excel 日期时间的最佳方法还是有更简单的方法?
=DATE(MID(A107,1,4),MID(A107,6,2),MID(A107,9,2)) +
TIME(MID(A107,12,2),MID(A107,15,2),MID(A107,18,2))
- TIME(5,0,0)
+ TIME(1,0,0)
这减 5 小时将其转换为复活节标准时间,加 1 小时用于考虑夏令时。
使用 Azure 云:
我正在研究一种解决方案,我可以让用户通过 Azure AD 进行身份验证,以便他们可以访问托管在虚拟机上的应用程序。这与 CloudFlare 零信任访问非常相似。https://www.cloudflare.com/en-gb/plans/zero-trust-services/#overview
我有一个私人虚拟机,我不想向世界开放。我想让用户通过 Azure AD(或其他方式)进行身份验证,然后他们才能访问 VM 应用程序。
应用注册看起来不错,但没有什么能阻止我向应用添加主机条目并完全绕过应用注册身份验证步骤。
我知道应用程序代理,但这似乎不适用于托管在云中的应用程序。这让我想到,一定有一些我没有看到的原生内置的东西?
请问你能提供一些建议吗?
谢谢