RunAs 自動化アカウントを作成する権限を持つ新しいグローバル管理者を作成するにはどうすればよいですか?

同僚が私の既存の Microsoft アカウント (既に彼のサブスクリプションの所有者および共同管理者である) をフル メンバー (ゲスト ユーザーではない) および彼の Azure ディレクトリのグローバル管理者として追加し、私が彼のサブスクリプションに Automation アカウントを作成できるようにするにはどうすればよいでしょうか?

私は同僚の Azure リソースを管理しています。私は共同管理者および所有者のロールとして彼のアカウントに招待されており、サブスクリプションのアクセス制御 (IAM) では、私のタイプは所有者、ロールは所有者、共同管理者として表示されています。

しかし、同僚のサブスクリプションで VM を起動/停止するための Automation アカウントを作成しようとすると、次の警告が表示されます。

Azure Active Directory で実行アカウントを作成する権限がありません。実行アカウントの作成方法については、ドキュメントの指示に従ってください。Run As アカウントの詳細については、ここをクリックしてください。

記事には次のように書かれています。

サブスクリプションのグローバル管理者/共同管理者ロールに追加される前に、サブスクリプションの Active Directory インスタンスのメンバーではない場合は、ゲストとして Active Directory に追加されます。このシナリオでは、[Automation アカウントの追加] ページに「作成する権限がありません」というメッセージが表示されます。ユーザーが最初にグローバル管理者/共同管理者ロールに追加された場合、サブスクリプションの Active Directory インスタンスからそのユーザーを削除し、その後 Active Directory の完全なユーザー ロールに再度追加することができます。

実際、同僚の Active Directory では、私はユーザー タイプ: ゲストとして表示されています。そこで、説明どおりに実行しようとしました。つまり、Active Directory からユーザー アカウントを削除し、新しいユーザーを追加しようとしましたが、残念ながら、既存の Microsoft アカウント名 (同僚のサブスクリプションの所有者および共同管理者として登録されているものと同じ) は受け入れられず、「gmail.com はこのディレクトリで検証されたドメインではありません」と表示されます。

そこで、別のボタン (新しいゲスト ユーザー) を試しました。その後、ディレクトリ ロールで「グローバル管理者」ロールが割り当てられました。Azure は私のメールを受け入れましたが、既存の Microsoft アカウントを関連付けることができず、代わりに新しい招待状が届き、同じメール アドレスの新しい Work アカウントを取得しました。そして、それを使用してログインすると、同僚のリソースにアクセスできるにもかかわらず、サブスクリプションはまったく表示されません。また、私の古い Microsoft アカウントは同僚の Active Directory にアクセスできません (そこから削除され、同じメール アドレスの新しい Work アカウントが作成されたため、予想どおりです)。