那些遇到过的问题

谁是 Azure 活动目录的所有者?

Dan*_*iel 5 azure-active-directory

假设我有两个 Microsoft 帐户:

  • MicrosoftAccount1@outlook.com
  • MicrosoftAccount2@outlook.com

我登录到 Azure 帐户中心并为每个帐户创建两个订阅:

  • MicrosoftAccount1@outlook.com
    • 订阅1a
    • 订阅1b
  • MicrosoftAccount2@outlook.com
    • 订阅2a
    • 订阅2b

每个账号都有账号管理员和服务管理员,账号管理员可以更改服务管理员。因此,例如,我可以将所有订阅的控制权交给一个服务管理员,在管理门户中,看起来该帐户拥有所有订阅:

  • MicrosoftAccount1@outlook.com
  • MicrosoftAccount2@outlook.com
    • 订阅1a
    • 订阅1b
    • 订阅2a
    • 订阅2b

但是帐户管理员没有改变,所以实际上,每个帐户仍然拥有其原始的两个订阅。帐户管理员始终可以通过将其服务管理员更改回他自己来收回对订阅的控制。

然后我登录到 Azure 管理门户并创建一些存储帐户、Web 应用程序、SQL 数据库和其他 Azure 资源。每个资源属于一个订阅,每个订阅由一个账户拥有:

  • MicrosoftAccount1@outlook.com
    • 订阅1a
      • 存储帐户
      • 网络应用程序
      • SQL数据库
    • 订阅1b
      • 存储帐户
      • 网络应用程序
      • SQL数据库
  • MicrosoftAccount2@outlook.com
    • 订阅2a
      • 存储帐户
      • 网络应用程序
      • SQL数据库
    • 订阅2b
      • 存储帐户
      • 网络应用程序
      • SQL数据库

所以我可以说,最终,每个 Azure 资源都归其订阅的帐户管理员所有。

Azure 还为每个帐户创建了一个活动目录,由两个订阅共享。当我查看管理门户时,活动目录看起来就像是另一个 Azure 资源,只是它属于两个订阅:

  • MicrosoftAccount1@outlook.com
    • 订阅1a
      • 存储帐户
      • 网络应用程序
      • SQL数据库
      • MicrosoftAccount1outlook.onmicrosoft.com(共享)
    • 订阅1b
      • 存储帐户
      • 网络应用程序
      • SQL数据库
      • MicrosoftAccount1outlook.onmicrosoft.com(共享)
  • MicrosoftAccount2@outlook.com
    • 订阅2a
      • 存储帐户
      • 网络应用程序
      • SQL数据库
      • MicrosoftAccount2outlook.onmicrosoft.com(共享)
    • 订阅2b
      • 存储帐户
      • 网络应用程序
      • SQL数据库
      • MicrosoftAccount2outlook.onmicrosoft.com(共享)

我什至可以在管理门户中创建更多活动目录,这是我创建存储帐户、Web 应用程序和 SQL 数据库的地方,因此看起来活动目录实际上只是可以属于多个订阅的另一个 Azure 资源:

  • MicrosoftAccount1@outlook.com
    • 订阅1a
      • 存储帐户
      • 网络应用程序
      • SQL数据库
      • MicrosoftAccount1outlook.onmicrosoft.com(共享)
      • MicrosoftAccount1outlook2.onmicrosoft.com(共享)
    • 订阅1b
      • 存储帐户
      • 网络应用程序
      • SQL数据库
      • MicrosoftAccount1outlook.onmicrosoft.com(共享)
      • MicrosoftAccount1outlook2.onmicrosoft.com(共享)
  • MicrosoftAccount2@outlook.com
    • 订阅2a
      • 存储帐户
      • 网络应用程序
      • SQL数据库
      • MicrosoftAccount2outlook.onmicrosoft.com(共享)
      • MicrosoftAccount2outlook2.onmicrosoft.com(共享)
    • 订阅2b
      • 存储帐户
      • 网络应用程序
      • SQL数据库
      • MicrosoftAccount2outlook.onmicrosoft.com(共享)
      • MicrosoftAccount2outlook2.onmicrosoft.com(共享)

然而,我玩了更多,我意识到我已经倒退了。活动目录不属于订阅;订阅属于活动目录。我可以更改将哪些订阅分配给哪些目录。然后,在管理门户中,我选择一个目录,它会显示该目录的订阅及其资源:

  • MicrosoftAccount1@outlook.com
    • MicrosoftAccount1outlook.onmicrosoft.com
      • 订阅1a
        • 存储帐户
        • 网络应用程序
        • SQL数据库
    • MicrosoftAccount1outlook2.onmicrosoft.com
      • 订阅1b
        • 存储帐户
        • 网络应用程序
        • SQL数据库
  • MicrosoftAccount2@outlook.com
    • MicrosoftAccount2outlook.onmicrosoft.com
    • MicrosoftAccount2outlook2.onmicrosoft.com
      • 订阅2a
        • 存储帐户
        • 网络应用程序
        • SQL数据库
      • 订阅2b
        • 存储帐户
        • 网络应用程序
        • SQL数据库

所以现在看起来帐户管理员拥有活动目录,而活动目录拥有订阅。然而,我又玩了一些,我也不认为那是对的。我可以让第一个帐户成为所有四个订阅的服务管理员。第二个帐户可以将第一个帐户添加为每个目录中的用户并使他成为全局管理员。然后第一个帐户可以从每个目录中删除第二个帐户。所以现在,第一个帐户可以管理所有四个目录的订阅,并且是所有四个目录中唯一的用户和全局管理员,而第二个帐户甚至无法再登录管理门户,因此看起来像第一个帐户拥有一切:

  • MicrosoftAccount1@outlook.com
    • MicrosoftAccount1outlook.onmicrosoft.com
      • 订阅1a
        • 存储帐户
        • 网络应用程序
        • SQL数据库
    • MicrosoftAccount1outlook2.onmicrosoft.com
      • 订阅1b
        • 存储帐户
        • 网络应用程序
        • SQL数据库
    • MicrosoftAccount2outlook.onmicrosoft.com
    • MicrosoftAccount2outlook2.onmicrosoft.com
      • 订阅2a
        • 存储帐户
        • 网络应用程序
        • SQL数据库
      • 订阅2b
        • 存储帐户
        • 网络应用程序
        • SQL数据库
  • MicrosoftAccount2@outlook.com

第二个帐户仍然真正拥有两个订阅,因为他是帐户管理员,但没有任何内容表明他拥有两个目录。第二个帐户管理员可以收回对他的两个订阅的控制权,但我不知道他如何收回对他的两个目录的控制权。此外,只要他不是任何活动目录的成员,他甚至不能创建更多订阅;Azure 不会像创建第一个目录那样创建另一个目录。那么,此时,谁拥有活动目录 MicrosoftAccount2outlook.onmicrosoft.com 和 MicrosoftAccount2outlook2.onmicrosoft.com?

我什至可以让一个目录拥有属于不同帐户管理员的订阅:

  • MicrosoftAccount1@outlook.com
    • MicrosoftAccount1outlook.onmicrosoft.com
      • 订阅1a
        • 存储帐户
        • 网络应用程序
        • SQL数据库
      • 订阅1b
        • 存储帐户
        • 网络应用程序
        • SQL数据库
      • 订阅2a
        • 存储帐户
        • 网络应用程序
        • SQL数据库
      • 订阅2b
        • 存储帐户
        • 网络应用程序
        • SQL数据库
    • MicrosoftAccount1outlook2.onmicrosoft.com
    • MicrosoftAccount2outlook.onmicrosoft.com
    • MicrosoftAccount2outlook2.onmicrosoft.com
  • MicrosoftAccount2@outlook.com

为了让事情变得更有趣,我可以在不是 Microsoft 帐户的目录中创建一个用户;它只是一个目录帐户。然后我可以作为目录帐户登录管理门户并创建另一个目录。新目录中唯一的用户和全局管理员是创建它的目录帐户;它没有 Microsoft 帐户所有者。谁拥有那个目录?

甚至可以争辩说,活动目录拥有原始 Microsoft 帐户,因为 Microsoft 帐户是活动目录中的用户。那么如果活动目录拥有 Microsoft 帐户,而 Microsoft 帐户拥有订阅,那么谁拥有活动目录?(编辑:再想一想,目录拥有 Microsoft 帐户是没有意义的,因为一个 Microsoft 帐户可以是多个目录中的用户,这意味着该帐户有多个所有者。从头开始。一个人类拥有Microsoft 帐户。Microsoft 帐户拥有订阅,或者 Active Directory 拥有订阅。谁拥有 Active Directory?)

小智 3

我认为 Azure AD 租户的“所有者”概念(目录的同义词,但在文献中更常见)没有意义。 登录 Azure 门户时,您将看到您当前登录的用户所属的所有租户。无论用户是 MSA(Microsoft 帐户)还是组织帐户(@.onmicrosoft.com 或 @),都是如此。无论租户是如何形成的,情况也是如此。有人可能创建了一个新的 Office 365 订阅,该订阅附带其唯一的 Azure AD 租户,然后将用于 Azure 订阅的 MSA 作为新用户添加到该租户。下次您登录 Azure 门户时,在您的目录中,您也会看到该新租户 - 只是因为您是该租户中的用户,并且您有权使用它执行某些操作(例如创建新应用程序)。底线:Azure AD 租户独立于 Azure 订阅而存在。当您注册 Azure 时,会自动配置 Azure AD 租户,并且您的订阅管理员(或任何门户用户)将自动添加到操作门户时创建的任何新 Azure AD 租户,但我希望 O365 示例展示了这是如何实现的这只是创建 Azure AD 租户的方式之一。唯一与上述内容不完全相符的事实是,您的订阅中确实有一个默认目录,它具有特殊的属性 - 但我仍然认为我不会谈论所有权。华泰

归档时间:

查看次数:

4832 次

最近记录:

10 年,2 月 前
相关归档
如何从Web App(节点/ Express)查询本地Dynamics CRM 20
Azure广告组成员资格声明 6
使用Azure AD V2.0(MSAL)和Asp .Net Core 2.0获取刷新令牌 6
AAD注册Azure功能+ GraphAP Delegated + SharePoint Online? 5
如何将 Azure Active Directory“服务主体”与 AKS Kubernetes“服务帐户”链接 5
服务主体(Azure 应用程序多租户)是否可以使用 AZ CLI 向租户中的应用程序授予管理员同意? 5
ASP Core Azure Active Directory 登录使用角色 4
Azure AD在有效访问令牌上返回Authentication_ExpiredToken 4
在没有凭据的情况下对Azure AD进行身份验证 3
将login_hint与OpenID一起使用 1
难疑归档
如何按值对字典进行排序? 3424
在JavaScript中循环遍历数组 2940
什么是JavaBean? 1677
在JavaScript中将字符串转换为整数? 1603
var关键字的目的是什么?我何时应该使用它(或省略它)? 1508
PHP中的startsWith()和endsWith()函数 1409
"this"关键字如何运作? 1243
如何使用jQuery按名称选择元素? 1160
将绘图保存到图像文件,而不是使用Matplotlib显示它 1060
什么是"Linting"? 1044