Я установил Azure AD и смог успешно присоединить экземпляры виртуальной машины RM к этому домену. Однако даже при входе в систему с учетной записью глобального администратора я не могу вносить какие-либо изменения в каталог. У меня нет возможности добавлять или удалять пользователей, группы, подразделения Org и т.д. Справочник, похоже, доступен только для чтения.
Единственный способ внести изменения в каталог - через портал Azure.
Я не могу найти никаких ссылок на эту конкретную проблему в Интернете, поэтому я подозреваю, что это должно быть что-то странное с моей настройкой. Должно быть, я где-то пропустил шаг. Я проверил все административные экраны, которые я могу найти для AAD, но не могу найти ничего, упоминающего о разрешении записи в домен.
Одна из виртуальных машин работает под управлением Server 2012 R2, а другая - под управлением Server 2016.
Обновить... Я обнаружил, что, хотя я не могу вносить изменения ни в одно из существующих подразделений, групп или пользователей, я могу добавить новое подразделение верхнего уровня, а затем добавить туда, что мне нравится. Это частично решает мою проблему. Однако следующая проблема заключается в том, что эти новые пользователи, которых я добавляю, похоже, не появляются на портале Azure.
Кажется, я могу управлять пользователями либо на портале, либо с помощью утилит управления доменом в Windows, но я не могу сделать и то, и другое.
Я только что нашел это ... Предупреждение Учетные записи пользователей, группы, учетные записи служб и объекты компьютеров, созданные в пользовательских подразделениях, недоступны в клиенте Azure AD. Другими словами, эти объекты не отображаются с помощью API-интерфейса Azure AD Graph или в пользовательском интерфейсе Azure AD. Эти объекты доступны только в вашем управляемом домене доменных служб Azure AD.
Так что это только одно из ограничений доменных служб AAD.