Как мой коллега может добавить мою существующую учетную запись Microsoft (которая уже является владельцем и соадминистратором его подписки) в качестве полноправного участника (а не гостя) и глобального администратора его каталога Azure, чтобы я мог создавать учетные записи автоматизации в его подписке?
Я управляю ресурсами Azure коллеги. Меня пригласили в его учетную запись в качестве соадминистратора и владельца, и действительно, в разделе «Управление доступом» (IAM) подписки я вижу свой Тип как Владелец, а Роль как Владелец, Соадминистратор.
Но когда я пытаюсь создать учетную запись Automation для запуска/остановки виртуальных машин в подписке моего коллеги, я вижу предупреждение:
У вас нет разрешений на создание учетной записи Run As в Azure Active Directory. Пожалуйста, следуйте инструкциям в документации, чтобы узнать, как создать учетную запись Run As.Нажмите здесь, чтобы узнать больше об учетных записях Run As.
В статье говорится следующее:
Если вы не являетесь членом экземпляра Active Directory подписки до того, как вас добавили в роль глобального администратора/соадминистратора подписки, вы добавляетесь в Active Directory в качестве гостя. В этом сценарии вы видите это сообщение на странице «Добавить учетную запись автоматизации»: «У вас нет разрешений на создание». Если пользователь сначала добавлен в роль глобального администратора/соадминистратора, вы можете удалить его из экземпляра Active Directory подписки, а затем повторно добавить его в полную роль пользователя в Active Directory.
Действительно, в Active Directory моего коллеги я отображаюсь как Тип пользователя: Гость. Итак, мы попытались сделать так, как описано - удалили учетную запись пользователя из Active Directory и попытались добавить нового пользователя, но, к сожалению, мое существующее имя учетной записи Microsoft (то же, под которым я зарегистрирован как владелец и соадминистратор подписки коллеги) не принимается - пишется, что "gmail.com не является проверенным доменом в этом каталоге".
Поэтому мы попробовали другую кнопку — Новый гостевой пользователь. После этого в разделе «Роль каталога» мне была назначена роль «Глобальный администратор». Azure принял мою электронную почту, но не смог связать мою существующую учетную запись Microsoft, и вместо этого я получил новое приглашение и новую рабочую учетную запись для того же адреса электронной почты. И когда я вхожу с этим, я вообще не вижу никаких подписок, хотя могу получить доступ к ресурсам коллеги. И моя старая учетная запись Microsoft не имеет никакого доступа к Active Directory коллеги (ожидаемо — потому что она была удалена оттуда, и была создана новая рабочая учетная запись с тем же адресом электронной почты).
решение1
После множества проб и ошибок, а также после долгих раздумий я обнаружил, что виновником является вот этот: https://cloudblogs.microsoft.com/enterprisemobility/2016/09/15/cleaning-up-the-azure-ad-and-microsoft-account-overlap/
Итак, похоже, что теперь мы не можем добавлять учетные записи Microsoft в Azure Directory в качестве полноправных участников (только в качестве гостей), и нам придется добавлять их с доменом @targetazuredomain.onmicrosoft.com, затем сбросить пароль пользователя в Azure, отправить временный пароль пользователю, и теперь пользователь должен войти в Azure Portal с этим новым доменным именем [email protected]. Отобразится диалоговое окно смены пароля, пользователь должен будет сменить пароль и, наконец, получит доступ к ресурсам и сможет создавать новые учетные записи автоматизации с учетными записями RunAs.
Чтобы предоставить этому пользователю разрешения владельца подписки, администратор должен добавить пользователя с [email protected]еще раз в список контроля доступа (IAM) с ролью владельца. Таким образом, в списке IAM может оказаться две учетные записи — одна для учетной записи Microsoft, а другая для локальной учетной записи AD; но учетная запись Microsoft больше не так полезна, поскольку у нее нет доступа к домену Azure подписки.
По сути, это означает, что учетная запись Microsoft SSO для Azure мертва — вы не можете войти в несколько подписок Azure и ожидать, что у вас будут полные разрешения там. Вам придется переключиться на учетную запись «подлинного домена» для каждой подписки, которой вы не владеете.