谁是 Azure 活动目录的所有者?
Who is the owner of an Azure active directory?
假设我有两个 Microsoft 帐户:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount2@outlook.com
然后我登录到 Azure 帐户中心并为每个帐户创建两个订阅:
- MicrosoftAccount1@outlook.com
- 订阅1a
- 订阅 1b
- MicrosoftAccount2@outlook.com
- 订阅2a
- 订阅2b
每个账号都有一个账号管理员和一个服务管理员,账号管理员可以更换服务管理员。因此,例如,我可以将所有订阅的控制权交给一个服务管理员,并且在管理门户中,看起来该帐户拥有所有订阅:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount2@outlook.com
- 订阅1a
- 订阅 1b
- 订阅2a
- 订阅2b
但是账户管理员并没有改变,所以实际上,每个账户仍然拥有其原来的两个订阅。帐户管理员始终可以通过将其服务管理员更改回他自己来收回对订阅的控制权。
然后我登录到 Azure 管理门户并创建一些存储帐户、Web 应用程序、SQL 数据库和其他 Azure 资源。每个资源属于一个订阅,每个订阅属于一个帐户:
- MicrosoftAccount1@outlook.com
- 订阅1a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅1b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount2@outlook.com
- 订阅2a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2b
- 存储帐户
- 网络应用程序
- SQL 数据库
所以我可以说,最终,每个 Azure 资源都归其订阅的帐户管理员所有。
Azure 还为每个帐户创建了一个活动目录,由两个订阅共享。当我查看管理门户时,活动目录看起来就像是另一个 Azure 资源,只是它属于两个订阅:
- MicrosoftAccount1@outlook.com
- 订阅1a
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount1outlook.onmicrosoft.com(共享)
- 订阅1b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount1outlook.onmicrosoft.com(共享)
- MicrosoftAccount2@outlook.com
- 订阅2a
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount2outlook.onmicrosoft.com(共享)
- 订阅2b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount2outlook.onmicrosoft.com(共享)
我什至可以在管理门户中创建更多的活动目录,这是我创建存储帐户、Web 应用程序和 SQL 数据库的地方,所以看起来活动目录真的只是另一个 Azure 资源可以属于多个订阅:
- MicrosoftAccount1@outlook.com
- 订阅1a
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount1outlook.onmicrosoft.com(共享)
- MicrosoftAccount1outlook2.onmicrosoft.com(共享)
- 订阅1b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount1outlook.onmicrosoft.com(共享)
- MicrosoftAccount1outlook2.onmicrosoft.com(共享)
- MicrosoftAccount2@outlook.com
- 订阅2a
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount2outlook.onmicrosoft.com(共享)
- MicrosoftAccount2outlook2.onmicrosoft.com(共享)
- 订阅2b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount2outlook.onmicrosoft.com(共享)
- MicrosoftAccount2outlook2.onmicrosoft.com(共享)
但是,我又玩了一会儿,发现我搞反了。活动目录不属于订阅;订阅属于活动目录。我可以更改将哪些订阅分配给哪些目录。然后,在管理门户中,我 select 一个目录,它向我显示该目录的订阅及其资源:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount1outlook.onmicrosoft.com
- 订阅1a
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount1outlook2.onmicrosoft.com
- 订阅1b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount2@outlook.com
- MicrosoftAccount2outlook.onmicrosoft.com
- MicrosoftAccount2outlook2.onmicrosoft.com
- 订阅2a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2b
- 存储帐户
- 网络应用程序
- SQL 数据库
所以现在看起来帐户管理员拥有活动目录,而活动目录拥有订阅。但是,我又玩了一会儿,我也不认为那是对的。我可以让第一个帐户成为所有四个订阅的服务管理员。第二个帐户可以将第一个帐户添加为每个目录中的用户,并使他成为全局管理员。然后第一个帐户可以从每个目录中删除第二个帐户。所以现在,第一个帐户可以管理所有四个目录的订阅,并且是所有四个目录中唯一的用户和全局管理员,而第二个帐户甚至无法登录管理门户,因此看起来像第一个帐户拥有一切:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount1outlook.onmicrosoft.com
- 订阅1a
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount1outlook2.onmicrosoft.com
- 订阅1b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount2outlook.onmicrosoft.com
- MicrosoftAccount2outlook2.onmicrosoft.com
- 订阅2a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount2@outlook.com
第二个帐户仍然真正拥有两个订阅,因为他是帐户管理员,但没有任何内容表明他拥有两个目录。第二个帐户管理员可以收回对他的两个订阅的控制权,但我看不出他如何收回对他的两个目录的控制权。此外,只要他不是任何活动目录的成员,他甚至不能再创建订阅; Azure 不会像创建第一个目录那样创建另一个目录。那么,此时,谁拥有活动目录 MicrosoftAccount2outlook.onmicrosoft.com 和 MicrosoftAccount2outlook2.onmicrosoft.com?
我什至可以让一个目录拥有属于不同帐户管理员的订阅:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount1outlook.onmicrosoft.com
- 订阅1a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅1b
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount1outlook2.onmicrosoft.com
- MicrosoftAccount2outlook.onmicrosoft.com
- MicrosoftAccount2outlook2.onmicrosoft.com
- MicrosoftAccount2@outlook.com
为了让事情变得更有趣,我可以在一个不是 Microsoft 帐户的目录中创建一个用户;它只是一个目录帐户。然后我可以作为目录帐户登录管理门户并创建另一个目录。新目录中唯一的用户和全局管理员是创建它的目录帐户;它没有 Microsoft 帐户所有者。谁拥有该目录?
甚至可以说活动目录拥有原始的微软账户,因为微软账户是活动目录中的用户。那么如果活动目录拥有微软账户,而微软账户拥有订阅,那么谁拥有活动目录呢? (编辑:再想一想,目录拥有 Microsoft 帐户没有意义,因为一个 Microsoft 帐户可以是多个目录中的用户,这意味着该帐户有多个所有者。从头开始。一个人拥有Microsoft 帐户。Microsoft 帐户拥有订阅,或者活动目录拥有订阅。谁拥有活动目录?)
我认为 Azure AD 租户的 "owner" 概念(目录的同义词,但在文献中更常见的绰号)没有意义。
当您登录 Azure 门户时,您将看到您当前登录的用户所属的所有租户。无论用户是 MSA(Microsoft 帐户)还是组织帐户(@.onmicrosoft.com 或 @)都是如此。不管租户是怎么来的,情况也是如此。有人可能已经创建了一个新的 Office 365 订阅,它带有它的 Azure AD 租户,然后将您用于 Azure 订阅的 MSA 作为新用户添加到该租户。下次你登录 Azure 门户时,在你的目录中你也会看到那个新租户——只是因为你是那个租户中的用户并且你有权使用它做一些事情(比如创建新应用程序)。
底线:Azure AD 租户独立于 Azure 订阅而存在。当您注册 Azure 时,会自动配置 Azure AD 租户,并且您的订阅管理员(或任何门户用户)将自动添加到在操作门户时创建的任何新 Azure AD 租户,但我希望 O365 示例说明了这是怎么回事只是创建 Azure AD 租户的方式之一。唯一不符合上述内容的是您的订阅中确实有一个默认目录,它具有特殊属性 - 但我仍然不认为我会谈论所有权。 HTH
假设我有两个 Microsoft 帐户:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount2@outlook.com
然后我登录到 Azure 帐户中心并为每个帐户创建两个订阅:
- MicrosoftAccount1@outlook.com
- 订阅1a
- 订阅 1b
- MicrosoftAccount2@outlook.com
- 订阅2a
- 订阅2b
每个账号都有一个账号管理员和一个服务管理员,账号管理员可以更换服务管理员。因此,例如,我可以将所有订阅的控制权交给一个服务管理员,并且在管理门户中,看起来该帐户拥有所有订阅:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount2@outlook.com
- 订阅1a
- 订阅 1b
- 订阅2a
- 订阅2b
但是账户管理员并没有改变,所以实际上,每个账户仍然拥有其原来的两个订阅。帐户管理员始终可以通过将其服务管理员更改回他自己来收回对订阅的控制权。
然后我登录到 Azure 管理门户并创建一些存储帐户、Web 应用程序、SQL 数据库和其他 Azure 资源。每个资源属于一个订阅,每个订阅属于一个帐户:
- MicrosoftAccount1@outlook.com
- 订阅1a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅1b
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅1a
- MicrosoftAccount2@outlook.com
- 订阅2a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2b
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2a
所以我可以说,最终,每个 Azure 资源都归其订阅的帐户管理员所有。
Azure 还为每个帐户创建了一个活动目录,由两个订阅共享。当我查看管理门户时,活动目录看起来就像是另一个 Azure 资源,只是它属于两个订阅:
- MicrosoftAccount1@outlook.com
- 订阅1a
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount1outlook.onmicrosoft.com(共享)
- 订阅1b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount1outlook.onmicrosoft.com(共享)
- 订阅1a
- MicrosoftAccount2@outlook.com
- 订阅2a
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount2outlook.onmicrosoft.com(共享)
- 订阅2b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount2outlook.onmicrosoft.com(共享)
- 订阅2a
我什至可以在管理门户中创建更多的活动目录,这是我创建存储帐户、Web 应用程序和 SQL 数据库的地方,所以看起来活动目录真的只是另一个 Azure 资源可以属于多个订阅:
- MicrosoftAccount1@outlook.com
- 订阅1a
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount1outlook.onmicrosoft.com(共享)
- MicrosoftAccount1outlook2.onmicrosoft.com(共享)
- 订阅1b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount1outlook.onmicrosoft.com(共享)
- MicrosoftAccount1outlook2.onmicrosoft.com(共享)
- 订阅1a
- MicrosoftAccount2@outlook.com
- 订阅2a
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount2outlook.onmicrosoft.com(共享)
- MicrosoftAccount2outlook2.onmicrosoft.com(共享)
- 订阅2b
- 存储帐户
- 网络应用程序
- SQL 数据库
- MicrosoftAccount2outlook.onmicrosoft.com(共享)
- MicrosoftAccount2outlook2.onmicrosoft.com(共享)
- 订阅2a
但是,我又玩了一会儿,发现我搞反了。活动目录不属于订阅;订阅属于活动目录。我可以更改将哪些订阅分配给哪些目录。然后,在管理门户中,我 select 一个目录,它向我显示该目录的订阅及其资源:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount1outlook.onmicrosoft.com
- 订阅1a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅1a
- MicrosoftAccount1outlook2.onmicrosoft.com
- 订阅1b
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅1b
- MicrosoftAccount1outlook.onmicrosoft.com
- MicrosoftAccount2@outlook.com
- MicrosoftAccount2outlook.onmicrosoft.com
- MicrosoftAccount2outlook2.onmicrosoft.com
- 订阅2a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2b
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2a
所以现在看起来帐户管理员拥有活动目录,而活动目录拥有订阅。但是,我又玩了一会儿,我也不认为那是对的。我可以让第一个帐户成为所有四个订阅的服务管理员。第二个帐户可以将第一个帐户添加为每个目录中的用户,并使他成为全局管理员。然后第一个帐户可以从每个目录中删除第二个帐户。所以现在,第一个帐户可以管理所有四个目录的订阅,并且是所有四个目录中唯一的用户和全局管理员,而第二个帐户甚至无法登录管理门户,因此看起来像第一个帐户拥有一切:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount1outlook.onmicrosoft.com
- 订阅1a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅1a
- MicrosoftAccount1outlook2.onmicrosoft.com
- 订阅1b
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅1b
- MicrosoftAccount2outlook.onmicrosoft.com
- MicrosoftAccount2outlook2.onmicrosoft.com
- 订阅2a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2b
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2a
- MicrosoftAccount1outlook.onmicrosoft.com
- MicrosoftAccount2@outlook.com
第二个帐户仍然真正拥有两个订阅,因为他是帐户管理员,但没有任何内容表明他拥有两个目录。第二个帐户管理员可以收回对他的两个订阅的控制权,但我看不出他如何收回对他的两个目录的控制权。此外,只要他不是任何活动目录的成员,他甚至不能再创建订阅; Azure 不会像创建第一个目录那样创建另一个目录。那么,此时,谁拥有活动目录 MicrosoftAccount2outlook.onmicrosoft.com 和 MicrosoftAccount2outlook2.onmicrosoft.com?
我什至可以让一个目录拥有属于不同帐户管理员的订阅:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount1outlook.onmicrosoft.com
- 订阅1a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅1b
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2a
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅2b
- 存储帐户
- 网络应用程序
- SQL 数据库
- 订阅1a
- MicrosoftAccount1outlook2.onmicrosoft.com
- MicrosoftAccount2outlook.onmicrosoft.com
- MicrosoftAccount2outlook2.onmicrosoft.com
- MicrosoftAccount1outlook.onmicrosoft.com
- MicrosoftAccount2@outlook.com
为了让事情变得更有趣,我可以在一个不是 Microsoft 帐户的目录中创建一个用户;它只是一个目录帐户。然后我可以作为目录帐户登录管理门户并创建另一个目录。新目录中唯一的用户和全局管理员是创建它的目录帐户;它没有 Microsoft 帐户所有者。谁拥有该目录?
甚至可以说活动目录拥有原始的微软账户,因为微软账户是活动目录中的用户。那么如果活动目录拥有微软账户,而微软账户拥有订阅,那么谁拥有活动目录呢? (编辑:再想一想,目录拥有 Microsoft 帐户没有意义,因为一个 Microsoft 帐户可以是多个目录中的用户,这意味着该帐户有多个所有者。从头开始。一个人拥有Microsoft 帐户。Microsoft 帐户拥有订阅,或者活动目录拥有订阅。谁拥有活动目录?)
我认为 Azure AD 租户的 "owner" 概念(目录的同义词,但在文献中更常见的绰号)没有意义。 当您登录 Azure 门户时,您将看到您当前登录的用户所属的所有租户。无论用户是 MSA(Microsoft 帐户)还是组织帐户(@.onmicrosoft.com 或 @)都是如此。不管租户是怎么来的,情况也是如此。有人可能已经创建了一个新的 Office 365 订阅,它带有它的 Azure AD 租户,然后将您用于 Azure 订阅的 MSA 作为新用户添加到该租户。下次你登录 Azure 门户时,在你的目录中你也会看到那个新租户——只是因为你是那个租户中的用户并且你有权使用它做一些事情(比如创建新应用程序)。 底线:Azure AD 租户独立于 Azure 订阅而存在。当您注册 Azure 时,会自动配置 Azure AD 租户,并且您的订阅管理员(或任何门户用户)将自动添加到在操作门户时创建的任何新 Azure AD 租户,但我希望 O365 示例说明了这是怎么回事只是创建 Azure AD 租户的方式之一。唯一不符合上述内容的是您的订阅中确实有一个默认目录,它具有特殊属性 - 但我仍然不认为我会谈论所有权。 HTH