Set-msoluser: por que “acesso negado”?

Eu tenho uma conta do Azure com um usuário "rmuser" que criei especificamente para desligamentos automatizados de VMs. A senha desse usuário expirou para que as VMs parassem de ser desligadas. Alterei manualmente a senha para que a conta aceite logins novamente. Eu encontrei isto e comecei a trabalhar com isso.

Nesse processo, em vez de Select-AzureSubscription , que não consegui aceitar o ID de assinatura, usei Add-AzureAccount , após o qual Get-AzureSubscription mostrou que eu estava trabalhando com a assinatura correta. Eu tive que fornecer as credenciais para minha própria conta, já que é a assinatura, mas não posso usar essa conta para 'Connect-MsolService' porque é uma criação criada em outro lugar e, embora eu não entenda, estou ciente a conta é tratada de maneira diferente de uma criada no Azure.

Para obter a credencial para 'Connect-MsolService', informei o nome da conta e a senha do rmuser quando solicitado por Get-Credential e não recebi nenhum erro ao fazer Connect-MsolService . Então, estou no AD certo e esse usuário tem a função de Administrador Global. No entanto, se eu chamar Set-MsolUser , recebo um erro Set-msoluser : Access Denied. You do not have permissions to call this cmdlet.

Estou executando o Powershell explicitamente como administrador. Eu li que o erro pode ser causado pelo nome de usuário especificado não ser encontrado, então eu confirmei com Get-MSOLUser que o usuário foi encontrado. Eu também tentei apenas mudar o campo do departamento, caso haja um problema específico com o campo PasswordNeverExpires. Eu li em outro lugar que a política de execução pode ser um problema, então eu defini isso como irrestrito. Estou um pouco perplexo quanto ao que fazer a seguir. Alguém sabe o que está acontecendo e para onde ir a partir daqui?