我的同事如何將我現有的Microsoft 帳戶(已經是其訂閱的所有者和共同管理員)添加為其Azure 目錄的正式會員(而不是來賓用戶)和全域管理員,以便我可以在他的訂閱中建立自動化帳戶?
我正在管理同事的 Azure 資源。我被邀請作為共同管理員和所有者角色存取他的帳戶,實際上,在訂閱的存取控制 (IAM) 下,我看到我的類型為所有者,角色為所有者、共同管理員。
但是,當我嘗試建立自動化帳戶來啟動/停止同事訂閱中的虛擬機器時,我看到了警告:
您無權在 Azure Active Directory 中建立執行方式帳戶。請依照文件中的說明了解如何建立運行方式帳戶。按此處了解有關運行方式帳戶的更多資訊。
文章講述了以下內容:
如果您在新增至訂閱的全域管理員/共同管理員角色之前不是訂閱的 Active Directory 執行個體的成員,您將以訪客身分新增至 Active Directory。在這種情況下,您會在「新增自動化帳戶」頁面上看到此訊息:「您無權建立。」如果首先將使用者新增至全域管理員/共同管理員角色,您可以將其從訂閱的Active Directory 實例中刪除,然後將它們重新新增至 Active Directory 中的完整使用者角色。
事實上,在我同事的 Active Directory 中,我顯示為使用者類型:訪客。因此,我們嘗試按照描述進行操作- 從Active Directory 中刪除用戶帳戶並嘗試新增用戶,但不幸的是我現有的Microsoft 帳戶名稱(與我註冊為同事訂閱的所有者和共同管理員的名稱相同)不被接受 - 它表示“gmail.com 不是此目錄中經過驗證的網域”。
所以我們嘗試了另一個按鈕 - 新來賓用戶。之後,在目錄角色下,我被指派了「全域管理員」角色。 Azure 接受了我的電子郵件,但它無法關聯我現有的 Microsoft 帳戶,而是收到了新的邀請,並為相同電子郵件地址取得了一個新的工作帳戶。當我用它登入時,儘管我可以存取同事的資源,但我根本看不到任何訂閱。而且我的舊 Microsoft 帳戶無法存取同事的 Active Directory(意料之中 - 因為它已從那裡刪除,並且創建了一個具有相同電子郵件地址的新工作帳戶)。
答案1
經過一連串的嘗試和錯誤,我發現罪魁禍首是這個: https://cloudblogs.microsoft.com/enterprisemobility/2016/09/15/cleaning-up-the-azure-ad-and-microsoft-account-overlap/
因此,現在我們似乎無法將 Microsoft 帳戶作為正式成員(僅作為來賓)添加到 Azure 目錄,我們必須使用網域添加它們@targetazuredomain.onmicrosoft.com,然後在 Azure 中重設用戶的密碼,將臨時密碼發送給用戶,現在用戶應使用此新網域登入Azure 入口網站[email protected]。將顯示密碼變更對話框,使用者必須更改密碼,最後才能存取資源,並能夠使用 RunAs 帳戶建立新的自動化帳戶。
若要授予此使用者訂閱擁有者權限,管理員必須[email protected]再次將使用者新增至具有所有者角色的存取控制 (IAM) 清單。因此,您最終可能會在 IAM 清單中看到兩個帳戶 - 一個用於 Microsoft 帳戶,另一個用於本機 AD 帳戶;但是具有 Microsoft 帳戶的帳戶不再那麼有用,因為它無法存取訂閱的 Azure 網域。
從本質上講,這意味著 Azure 的 Microsoft 帳戶 SSO 已失效 - 您無法登入多個 Azure 訂閱並期望在那裡擁有完整權限。對於您不擁有的每個訂閱,您都必須切換到「正版域」帳戶。