¿Cómo puede mi colega agregar mi cuenta de Microsoft existente (que ya es propietario y coadministrador de su suscripción) como miembro de pleno derecho (y no usuario invitado) y administrador global de su directorio de Azure para que pueda crear cuentas de automatización en su suscripción?
Estoy administrando los recursos de Azure de un colega. Me invitaron a su cuenta como coadministrador y rol de propietario y, de hecho, bajo el control de acceso (IAM) de la suscripción, veo mi tipo como propietario y rol como propietario, coadministrador.
Pero cuando intento crear una cuenta de automatización para iniciar/detener máquinas virtuales en la suscripción de mi colega, veo la advertencia:
No tiene permisos para crear una cuenta de ejecución en Azure Active Directory. Siga las instrucciones de la documentación para aprender cómo crear una cuenta de ejecución.Haga clic aquí para obtener más información sobre las cuentas de ejecución.
El artículo dice lo siguiente:
Si no es miembro de la instancia de Active Directory de la suscripción antes de que se le agregue a la función de administrador/coadministrador global de la suscripción, se le agregará a Active Directory como invitado. En este escenario, verá este mensaje en la página Agregar cuenta de automatización: "No tiene permisos para crear". Si primero se agrega un usuario al rol de administrador/coadministrador global, puede eliminarlo de la instancia de Active Directory de la suscripción. y luego vuelva a agregarlos al rol de Usuario completo en Active Directory.
De hecho, en el Active Directory de mi colega aparezco como Tipo de usuario: Invitado. Entonces, intentamos hacer lo descrito: eliminamos la cuenta de usuario de Active Directory e intentamos agregar un nuevo usuario, pero desafortunadamente mi nombre de cuenta de Microsoft existente (el mismo con el que estoy registrado como propietario y coadministrador de la suscripción de un colega) no se acepta: dice que "gmail.com no es un dominio verificado en este directorio".
Entonces probamos el otro botón: Nuevo usuario invitado. Después de eso, en Función de directorio, se me asignó la función de "Administrador global". Azure aceptó mi correo electrónico, pero no pudo asociar mi cuenta de Microsoft existente y en su lugar recibí una nueva invitación y obtuve una nueva cuenta de trabajo para la misma dirección de correo electrónico. Y cuando inicio sesión con eso, no veo ninguna suscripción, aunque puedo acceder a los recursos de mis colegas. Y mi antigua cuenta de Microsoft no tiene ningún acceso al Active Directory de mi colega (como era de esperar, porque se eliminó de allí y se creó una nueva cuenta de trabajo con el mismo correo electrónico).
Respuesta1
Después de un montón de pruebas y errores y de arrancarme el oído, descubrí que el culpable es este: https://cloudblogs.microsoft.com/enterprisemobility/2016/09/15/cleaning-up-the-azure-ad-and-microsoft-account-overlap/
Entonces, parece que ahora no podemos agregar cuentas de Microsoft al Directorio de Azure como miembros completos (solo como invitados) y tenemos que agregarlas con el dominio de @targetazuredomain.onmicrosoft.com, luego restablecer la contraseña del usuario en Azure, enviar la contraseña temporal al usuario y ahora al usuario. Debe iniciar sesión en Azure Portal con este nuevo nombre de dominio [email protected]. Se mostrará el cuadro de diálogo de cambio de contraseña, el usuario debe cambiar la contraseña y finalmente tendrá acceso a los recursos y podrá crear nuevas cuentas de automatización con cuentas RunAs.
Para otorgar permisos de propietario de suscripción a este usuario, el administrador debe agregar el usuario [email protected]una vez más a la lista de control de acceso (IAM) con rol de propietario. Por lo tanto, es posible que termine con dos cuentas en la lista de IAM: una para la cuenta de Microsoft y la otra para la cuenta de AD local; pero el que tiene una cuenta de Microsoft ya no es tan útil porque no tiene acceso al dominio Azure de la suscripción.
Básicamente, esto significa que el SSO de la cuenta de Microsoft para Azure está inactivo: no puede iniciar sesión en varias suscripciones de Azure y esperar tener permisos completos allí. Debe cambiar a la cuenta de "dominio genuino" para cada suscripción que no sea de su propiedad.