Wie kann mein Kollege mein vorhandenes Microsoft-Konto (das bereits Eigentümer und Co-Administrator seines Abonnements ist) als vollwertiges Mitglied (und nicht als Gastbenutzer) und globalen Administrator seines Azure-Verzeichnisses hinzufügen, damit ich in seinem Abonnement Automation-Konten erstellen kann?
Ich verwalte die Azure-Ressourcen eines Kollegen. Ich wurde als Co-Administrator und Eigentümer zu seinem Konto eingeladen und tatsächlich sehe ich unter der Zugriffskontrolle des Abonnements (IAM) meinen Typ als Eigentümer und meine Rolle als Eigentümer, Co-Administrator.
Wenn ich jedoch versuche, ein Automation-Konto zum Starten/Stoppen von VMs im Abonnement meines Kollegen zu erstellen, wird mir die Warnung angezeigt:
Sie sind nicht berechtigt, ein „Ausführen als“-Konto in Azure Active Directory zu erstellen. Folgen Sie den Anweisungen in der Dokumentation, um zu erfahren, wie Sie ein „Ausführen als“-Konto erstellen.Klicken Sie hier, um mehr über „Run As“-Konten zu erfahren.
Im Artikel steht folgendes:
Wenn Sie kein Mitglied der Active Directory-Instanz des Abonnements sind, bevor Sie zur globalen Administrator-/Coadministratorrolle des Abonnements hinzugefügt werden, werden Sie als Gast zu Active Directory hinzugefügt. In diesem Szenario wird auf der Seite „Automation-Konto hinzufügen“ die folgende Meldung angezeigt: „Sie verfügen nicht über die Berechtigung zum Erstellen.“ Wenn ein Benutzer zuerst zur globalen Administrator-/Coadministratorrolle hinzugefügt wird, können Sie ihn aus der Active Directory-Instanz des Abonnements entfernen und ihn dann erneut zur vollständigen Benutzerrolle in Active Directory hinzufügen.
Tatsächlich werde ich im Active Directory meines Kollegen als Benutzertyp: Gast angezeigt. Wir haben also versucht, wie beschrieben vorzugehen – das Benutzerkonto aus dem Active Directory zu entfernen und einen neuen Benutzer hinzuzufügen, aber leider wird mein bestehender Microsoft-Kontoname (derselbe, mit dem ich als Eigentümer und Coadmin des Abonnements des Kollegen registriert bin) nicht akzeptiert – es heißt, dass „gmail.com keine verifizierte Domäne in diesem Verzeichnis ist“.
Also probierten wir den anderen Button aus – Neuer Gastbenutzer. Danach wurde mir unter Verzeichnisrolle die Rolle „Globaler Administrator“ zugewiesen. Azure akzeptierte meine E-Mail, konnte mein bestehendes Microsoft-Konto jedoch nicht zuordnen. Stattdessen erhielt ich eine neue Einladung und ein neues Arbeitskonto für dieselbe E-Mail-Adresse. Und wenn ich mich damit anmelde, sehe ich überhaupt keine Abonnements, obwohl ich auf die Ressourcen des Kollegen zugreifen kann. Und mein altes Microsoft-Konto hat keinen Zugriff auf das Active Directory des Kollegen (was zu erwarten war, da es von dort entfernt wurde und ein neues Arbeitskonto mit derselben E-Mail-Adresse erstellt wurde).
Antwort1
Nach einigem Ausprobieren und nachdem ich mir die Ohren vollgerissen habe, bin ich zu dem Schluss gekommen, dass der Übeltäter dieser hier ist: https://cloudblogs.microsoft.com/enterprisemobility/2016/09/15/cleaning-up-the-azure-ad-and-microsoft-account-overlap/
Es scheint also, dass wir jetzt keine Microsoft-Konten mehr als vollwertige Mitglieder (nur als Gäste) zum Azure-Verzeichnis hinzufügen können. Wir müssen sie mit der Domäne hinzufügen @targetazuredomain.onmicrosoft.com, dann das Benutzerkennwort in Azure zurücksetzen, das temporäre Kennwort an den Benutzer senden und der Benutzer sollte sich nun mit diesem neuen Domänennamen beim Azure-Portal anmelden [email protected]. Ein Dialogfeld zum Ändern des Kennworts wird angezeigt. Der Benutzer muss das Kennwort ändern und hat schließlich Zugriff auf die Ressourcen und kann neue Automation-Konten mit RunAs-Konten erstellen.
Um diesem Benutzer die Abonnement-Besitzerberechtigung zu erteilen, muss der Administrator den Benutzer [email protected]erneut mit der Rolle „Besitzer“ zur Zugriffssteuerungsliste (IAM) hinzufügen. Sie könnten also am Ende zwei Konten in der IAM-Liste haben – eines für das Microsoft-Konto und das andere für das lokale AD-Konto. Das Konto mit dem Microsoft-Konto ist jedoch nicht mehr so nützlich, da es keinen Zugriff auf die Azure-Domäne des Abonnements hat.
Im Wesentlichen bedeutet dies, dass das Microsoft-Konto-SSO für Azure tot ist. Sie können sich nicht bei mehreren Azure-Abonnements anmelden und erwarten, dort über vollständige Berechtigungen zu verfügen. Sie müssen für jedes Abonnement, das Ihnen nicht gehört, zum „echten Domänenkonto“ wechseln.