我的同事如何将我现有的 Microsoft 帐户(已经是其订阅的所有者和共同管理员)添加为正式会员(而不是来宾用户)和其 Azure 目录的全局管理员,以便我可以在他的订阅中创建自动化帐户?
我正在管理同事的 Azure 资源。我被邀请以共同管理员和所有者角色加入他的帐户,并且确实在订阅的访问控制 (IAM) 下,我看到我的类型为所有者,角色为所有者、共同管理员。
但是,当我尝试创建一个自动化帐户来启动/停止同事订阅中的虚拟机时,我看到以下警告:
您无权在 Azure Active Directory 中创建运行方式帐户。请按照文档中的说明了解如何创建运行方式帐户。单击此处了解有关 Run As 帐户的更多信息。
文章讲述了以下内容:
如果您在被添加到订阅的全局管理员/共同管理员角色之前不是订阅的 Active Directory 实例的成员,则您将以来宾身份添加到 Active Directory。在这种情况下,您会在“添加自动化帐户”页面上看到此消息:“您没有创建权限。”如果用户首先被添加到全局管理员/共同管理员角色,则可以将其从订阅的 Active Directory 实例中删除,然后将其重新添加到 Active Directory 中的完整用户角色。
确实,在我同事的 Active Directory 中,我的用户类型显示为:Guest。因此,我们尝试按所述操作 - 从 Active Directory 中删除用户帐户并尝试添加新用户,但不幸的是,我现有的 Microsoft 帐户名(与我注册为同事订阅的所有者和共同管理员时使用的帐户名相同)不被接受 - 它显示“gmail.com 不是此目录中经过验证的域”。
因此,我们尝试了另一个按钮 - 新建来宾用户。之后,在目录角色下,我被分配了“全局管理员”角色。Azure 接受了我的电子邮件,但未能关联我现有的 Microsoft 帐户,相反,我收到了新的邀请,并获得了一个使用相同电子邮件地址的新工作帐户。当我使用该帐户登录时,虽然我可以访问同事的资源,但我根本看不到任何订阅。而且我的旧 Microsoft 帐户无法访问同事的 Active Directory(这是意料之中的 - 因为它已从那里删除,并且创建了一个使用相同电子邮件的新工作帐户)。
答案1
经过多次尝试、错误和努力之后,我发现罪魁祸首是这个: https://cloudblogs.microsoft.com/enterprisemobility/2016/09/15/cleaning-up-the-azure-ad-and-microsoft-account-overlap/
因此,现在看来我们无法将 Microsoft 帐户作为正式成员(仅作为来宾)添加到 Azure 目录中,而必须使用 的域添加它们@targetazuredomain.onmicrosoft.com,然后在 Azure 中重置用户的密码,将临时密码发送给用户,现在用户应该使用这个新域名登录 Azure 门户[email protected]。将显示密码更改对话框,用户必须更改密码,最后才能访问资源,并能够使用 RunAs 帐户创建新的自动化帐户。
要授予此用户订阅所有者权限,管理员必须[email protected]再次将用户添加到具有所有者角色的访问控制 (IAM) 列表中。因此,您最终可能会在 IAM 列表中获得两个帐户 - 一个是 Microsoft 帐户,另一个是本地 AD 帐户;但具有 Microsoft 帐户的帐户不再有用,因为它无权访问订阅的 Azure 域。
本质上,这意味着 Azure 的 Microsoft 帐户 SSO 已失效 - 您无法登录多个 Azure 订阅并期望在那里拥有完全权限。您必须为每个不属于您的订阅切换到“正版域”帐户。