Если экземпляр Active Directory отказывается удаляться из Azure

Если экземпляр Active Directory не хочет удаляться из Microsoft Azure, мотивируя это тем, что в нем существуют приложения, добавленные пользователями или администраторами — например, вот так:

Directory contains one or more applications that were added by a user or administrator.

хотя в разделе Applications нет ничего, кроме Office 365 Management APIs, то, в соответствии со статьями поддержки Microsoft — этой и этой — можно сделать следующее.

Подключитесь к экземпляру Active Directory при помощи PowerShell. Для этого понадобятся Microsoft Online Services Sign-In Assistant for IT Professionals RTW и модуль Azure Active Directory Module for Windows PowerShell.

Кроме того, если в удаляемом экземпляре Active Directory единственным пользователем является администратор тенанта с учетной записью в домене, не относящемся в этому экземпляру, например username@outlook.com, а не в, например, username@yourdomain.onmicrosoft.com, либо в любом другом домене, зарегистрированном в этом экземпляре Active Directory, то для выполнения этой операции, вам потребуется создать новую учетную запись с правами Global Admin. Располагаться эта учетная запись, должна в удаляемом экземпляре. Например, admin@yourdomain.onmicrosoft.com.

При создании учетной записи ей будет присвоен временный пароль. После этого вы можете выйти из под учетной записи администратора тенанта и попробовать зайти под только что созданной учетной записью, где вам будет предложено сменить пароль. После смены пароля вы увидите сообщение что для этой учетной записи отсутствуют какие либо подписки, что является чистой правдой, как и то, что для выполнения нашей задачи, а именно удаления экземпляра Active Directory они и не требуются. Теперь мы можем закрыть окно браузера и перейти в консоль PowerShell.

Нам нужно подключиться к удаляемой Active Directory, что мы можем сделать при помощи командлета

Connect-MsolService

В окне с предложением указать учетные данные, указываем только что созданную учетную запись с правами Global Admin в удаляемом экземпляре Active Directory.
После подключения нам нужно выполнить следующие команды:

Get-MsolServicePrincipal | Remove-MsolServicePrincipal

Эти команды удалят те записи о приложениях, которые можно удалить. Так как эта строка попытается удалить даже те записи, что удалить не получится, вы увидите несколько сообщений об ошибках, что в данном случае нормально.
Далее потребуется ввести следующие команды:

Get-MsolServicePrincipal | Set-MsolServicePrincipal -AccountEnabled $false

Эта строка деактивирует оставшиеся записи.

Выполнив все необходимые действия в PowerShell, мы можем зайти на портал manage.windowsazure.com под учетной записью администратора тенанта и удалить более не требующуюся учетную запись глобального администратора из экземпляра Active Directory.
После этого операция по удалению экземпляра Active Directory должна увенчаться успехом.


Страницы в социальных сетях:

Twitter: https://twitter.com/vsseth
Facebook: https://fb.com/inpowershell
VKontakte: https://vk.com/inpowershell


Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход /  Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход /  Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход /  Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход /  Изменить )

Connecting to %s