在 Azure 的同一 AD 中创建的用户进行资源隔离
Resource isolation by the users created in same AD in Azure
我需要在同一个 AD 中创建多个用户,并且需要将一个用户创建的资源与其他用户创建的资源隔离开来 user.Is 这真的 possible.since 我是 Azure 的新手 我不知道这是真的 possible.It 如果有人对此提出建议就太好了。
没有绝对的隔离,只有一定的限制。
AAD租户中创建的用户默认都是Member,他们有默认的权限e.g. Read all properties of groups、Read properties of registered and enterprise applications。因此,如果用户 A 创建了一些资源,例如组,应用程序,用户 B 也将能够读取它们的属性。
有一些限制,例如Manage properties, ownership, and membership of groups the user owns、Manage application properties, assignments, and credentials for owned applications。这意味着资源的某些属性只能由其中的 Owner 个来管理。
关于默认用户权限的详细信息,您可以参考https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/users-default-permissions
并且如果用户被分配为租户中的管理员角色,他将拥有比默认用户更多的权限,参见https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-assign-admin-roles
我需要在同一个 AD 中创建多个用户,并且需要将一个用户创建的资源与其他用户创建的资源隔离开来 user.Is 这真的 possible.since 我是 Azure 的新手 我不知道这是真的 possible.It 如果有人对此提出建议就太好了。
没有绝对的隔离,只有一定的限制。
AAD租户中创建的用户默认都是Member,他们有默认的权限e.g. Read all properties of groups、Read properties of registered and enterprise applications。因此,如果用户 A 创建了一些资源,例如组,应用程序,用户 B 也将能够读取它们的属性。
有一些限制,例如Manage properties, ownership, and membership of groups the user owns、Manage application properties, assignments, and credentials for owned applications。这意味着资源的某些属性只能由其中的 Owner 个来管理。
关于默认用户权限的详细信息,您可以参考https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/users-default-permissions
并且如果用户被分配为租户中的管理员角色,他将拥有比默认用户更多的权限,参见https://docs.microsoft.com/en-us/azure/active-directory/users-groups-roles/directory-assign-admin-roles