Azure AD-ドメインに参加しているVMからディレクトリに変更を加えることはできません
Azure ADをセットアップし、RM VMインスタンスをこのドメインに正常に参加させることができました。ただし、グローバル管理者アカウントでログインした場合でも、ディレクトリを変更することはできません。ユーザー、グループ、または組織ユニットなどを追加または削除するオプションがありません。ディレクトリは読み取り専用のようです。 ディレクトリを変更できる唯一の方法は、Azureポータルを使用することです。 私はこの特定の問題への参照をオンラインで見つけることができないので、それは私の設定では奇妙なものに違いないと思う。私はどこか一歩を逃したに違いありません。AADのすべての管理画面を確認しましたが、ドメインへの書き込みアクセスを許可することについて言及しているものは見つかりません。 VMの1つはServer 2012 R2を実行しており、もう1つはServer 2016を実行しています。 更新...既存のOU、グループ、またはユーザーを変更することはできませんが、新しい最上位OUを追加し、そこに好きなものを追加できることがわかりました。これは私の問題を部分的に解決します。ただし、次の問題は、追加したこれらの新しいユーザーがAzure Portalに表示されないように見えることです。 したがって、ポータルで、またはWindowsのドメイン管理ユーティリティを使用してユーザーを管理できるようですが、両方を行うことはできません。 これを見つけました...警告カスタムOUで作成したユーザーアカウント、グループ、サービスアカウント、およびコンピューターオブジェクトは、Azure ADテナントでは使用できません。つまり、これらのオブジェクトは、Azure AD Graph APIを使用してもAzure AD UIにも表示されません。これらのオブジェクトは、Azure ADドメインサービスの管理対象ドメインでのみ使用できます。 したがって、これはAADドメインサービスの制限の1つに過ぎないようです。