Como meu colega pode adicionar minha conta Microsoft existente (que já é Proprietária e Coadministradora de sua assinatura) como Membro pleno (e não usuário convidado) e Administrador Global de seu diretório do Azure para que eu possa criar contas de Automação em sua assinatura?
Estou gerenciando os recursos do Azure de colegas. Fui convidado para sua conta como coadministrador e função de proprietário e, de fato, sob o controle de acesso (IAM) da assinatura, vejo meu tipo como proprietário e função como proprietário, coadministrador.
Mas quando tento criar uma conta de Automação para iniciar/parar VMs na assinatura do meu colega, vejo o aviso:
Você não tem permissões para criar uma conta Run As no Azure Active Directory. Siga as instruções na documentação para saber como criar uma conta Run As.Clique aqui para saber mais sobre contas Run As.
O artigo diz o seguinte:
Se você não for membro da instância do Active Directory da assinatura antes de ser adicionado à função de administrador/coadministrador global da assinatura, você será adicionado ao Active Directory como convidado. Nesse cenário, você verá esta mensagem na página Adicionar conta de automação: “Você não tem permissões para criar." Se um usuário for adicionado primeiro à função de administrador/coadministrador global, você poderá removê-lo da instância do Active Directory da assinatura, e adicione-os novamente à função de usuário completa no Active Directory.
Na verdade, no Active Directory do meu colega, sou exibido como Tipo de usuário: Convidado. Então, tentamos fazer conforme descrito - removemos a conta de usuário do Active Directory e tentamos adicionar um novo usuário, mas infelizmente meu nome de conta existente da Microsoft (o mesmo com o qual estou registrado como Proprietário e Coadministrador da assinatura de um colega) não é aceito - diz que "gmail.com não é um domínio verificado neste diretório".
Então tentamos o outro botão – Novo usuário convidado. Depois disso, em Função de diretório, recebi a função de "Administrador global". O Azure aceitou meu email, mas não conseguiu associar minha conta Microsoft existente e, em vez disso, recebi um novo convite e uma nova conta de trabalho para o mesmo endereço de email. E quando faço login com isso, não vejo nenhuma assinatura, embora possa acessar os recursos dos colegas. E minha antiga conta da Microsoft não tem acesso ao Active Directory do colega (esperado - porque ela foi removida de lá e uma nova conta de trabalho com o mesmo e-mail foi criada).
Responder1
Depois de um monte de tentativas e erros e de puxar o ouvido, descobri que o culpado é este: https://cloudblogs.microsoft.com/enterprisemobility/2016/09/15/cleaning-up-the-azure-ad-and-microsoft-account-overlap/
Então, parece que agora não podemos adicionar contas da Microsoft ao Azure Directory como membros completos (apenas como convidados) e temos que adicioná-las com o domínio de @targetazuredomain.onmicrosoft.com, depois redefinir a senha do usuário no Azure, enviar a senha temporária para o usuário e agora o usuário deve fazer login no Portal do Azure com esse novo nome de domínio [email protected]. A caixa de diálogo de alteração de senha será exibida, o usuário deverá alterar a senha e finalmente terá acesso aos recursos e poderá criar novas contas de Automação com contas RunAs.
Para conceder permissões de proprietário de assinatura a esse usuário, o administrador deve adicionar o usuário [email protected]mais uma vez à lista de controle de acesso (IAM) com a função de proprietário. Portanto, você pode acabar com duas contas na lista IAM - uma para a conta da Microsoft e outra para a conta local do AD; mas aquele com conta da Microsoft não é mais tão útil porque não tem acesso ao Domínio Azure da assinatura.
Essencialmente, isso significa que o SSO da conta da Microsoft para o Azure está inoperante - você não pode fazer logon em várias assinaturas do Azure e esperar ter permissões completas. Você deve mudar para a conta de “domínio genuíno” para cada assinatura que não possui.