从计费中排除同步的Azure Active Directory邮箱

登录 Azure Active Directory管理员账户

在页面右侧菜单中选择 角色和管理员 .

使用搜索框定位 安全读取者 角色并勾选其旁边的复选框。

点击屏幕右侧的 按钮并选择 描述 .

从屏幕右侧的菜单中选择 分配 页面，然后点击 添加分配 .

搜索 USS AzureAD ，点击选择它，然后点击 添加 .

启动Azure CLI工具：

docker run -it mcr.microsoft.com/azure-cli

以具有角色分配权限的用户身份登录：

az login

按照提示打开浏览器并完成CLI身份验证

查找 USS AzureAD 的对象ID（该ID也可在 Azure > 企业应用程序 > USS AzureAD 部分找到）：

az ad sp list --all --query "[].{objectId:objectId}" --filter "displayName eq 'USS AzureAD'"

将 安全读取者 角色分配给 USS AzureAD （其中 $objectId 为步骤3中的对象ID）：

az rest --method post --url https://graph.microsoft.com/beta/roleManagement/directory/roleAssignments --body "{\"principalId\":\"$objectId\",\"roleDefinitionId\":\"5d6b6bb7-de71-4623-b4af-96380a352509\",\"directoryScopeId\":\"/\"}"

下载 并安装AzureAD PowerShell模块。

以全局管理员身份登录您的租户：

Connect-AzureAD

使用以下命令获取服务主体的ObjectID：

Get-AzureADServicePrincipal

查看Azure AD目录角色的Object ID：

Get-AzureADDirectoryRole | sort DisplayName

将目录角色设置为 服务主体 :

dd-AzureADDirectoryRoleMember -ObjectId -RefObjectId

检查当前分配给服务主体的目录角色：

Get-AzureADServicePrincipalMembership -ObjectId

登录 使用管理员帐户登录Azure Active Directory。

在页面右侧菜单中，选择 企业应用程序 .

搜索 USS AzureAD 并选择它。

在页面右侧的菜单中，选择 权限 .

点击 为<公司名称>授予管理员同意 按钮。

完成身份验证后点击 接受 .