Depois de várias tentativas e erros, descobri que o culpado é este: link
Parece que agora não podemos adicionar contas da Microsoft ao Azure Directory como membros completos (somente como convidados) e temos de adicioná-las com o domínio @targetazuredomain.onmicrosoft.com
, redefinir a senha do usuário no Azure e enviar a senha temporária para o usuário e agora o usuário deve efetuar login no Portal do Azure com este novo nome de domínio [email protected]
. A caixa de diálogo de alteração de senha será exibida, o usuário terá que alterar a senha e, finalmente, terá acesso aos recursos e poderá criar novas contas de automação com contas RunAs.
Para conceder permissões de Proprietário à assinatura deste usuário, o administrador deve adicionar o usuário com a [email protected]
mais uma vez à lista de Controle de acesso (IAM) com função de Proprietário. Assim, você pode acabar com duas contas na lista do IAM - uma para a conta da Microsoft e outra para a conta do AD local; mas aquele com conta da Microsoft não é mais útil porque não tem acesso ao domínio do Azure da assinatura.
Essencialmente, isso significa que o SSO de conta da Microsoft para o Azure está inativo - você não pode fazer logon em várias assinaturas do Azure e esperar ter permissões totais nesse local. Você precisa mudar para a conta "domínio genuíno" para todas as assinaturas que não são de sua propriedade.