Как мой коллега может добавить мою существующую учетную запись Microsoft (которая уже является владельцем и соадминистратором его подписки) в качестве полноправного участника (а не гостевого пользователя) и глобального администратора своего каталога Azure, чтобы я мог создавать учетные записи автоматизации в его подписке?
Я управляю ресурсами Azure коллеги. Меня пригласили в его учетную запись в качестве соадминистратора и владельца, и действительно, в рамках контроля доступа (IAM) подписки я вижу свой тип как владельца и роль как владельца, соадминистратора.
Но когда я пытаюсь создать учетную запись автоматизации для запуска / остановки виртуальных машин в подписке моего коллеги, я вижу предупреждение:
У вас нет разрешений на создание учетной записи запуска от имени в Azure Active Directory. Следуйте инструкциям в документации, чтобы узнать, как создать учетную запись запуска от имени. Щелкните здесь, чтобы узнать больше об учетных записях запуска от имени.
В статье говорится следующее:
Если вы не являетесь участником экземпляра Active Directory подписки до того, как вас добавили к роли глобального администратора / соадминистратора подписки, вы будете добавлены в Active Directory в качестве гостя. В этом сценарии вы видите это сообщение на странице добавления учетной записи автоматизации: «У вас нет разрешений на создание». Если пользователь сначала добавляется к роли глобального администратора / соадминистратора, вы можете удалить его из экземпляра Active Directory подписки, а затем повторно добавьте их к полной роли пользователя в Active Directory.
Действительно, в Active Directory моего коллеги я отображается как Тип пользователя: Гость. Итак, мы попытались сделать, как описано - удалили учетную запись пользователя из Active Directory и попытались добавить нового пользователя, но, к сожалению, мое существующее имя учетной записи Microsoft (то же самое, с которым я зарегистрирован как владелец и соадмин подписки коллеги) не принимается - там написано, что «gmail.com не является подтвержденным доменом в этом каталоге».
Итак, мы попробовали другую кнопку - Новый гость. После этого в разделе «Роль каталога» мне была назначена роль «Глобальный администратор». Azure принял мою электронную почту, но не смог связать мою существующую учетную запись Microsoft, и вместо этого я получил новое приглашение и получил новую рабочую учетную запись для того же адреса электронной почты. И когда я вхожу в систему с этим, я вообще не вижу никаких подписок, хотя у меня есть доступ к ресурсам коллег. И моя старая учетная запись Microsoft не имеет доступа к Active Directory коллеги (ожидалось, потому что она была удалена оттуда и была создана новая рабочая учетная запись с тем же адресом электронной почты).
После кучи проб и ошибок и выдергивания слуха я обнаружил, что виноват вот он: https://cloudblogs.microsoft.com/enterprisemobility/2016/09/15/cleaning-up-the-azure-ad-and-microsoft-account-overlap/
Итак, похоже, что теперь мы не можем добавлять учетные записи Microsoft в Azure Directory в качестве полноправных участников (только в качестве гостей), и мы должны добавить их с доменом @targetazuredomain.onmicrosoft.com, затем сбросьте пароль пользователя в Azure, отправьте временный пароль пользователю, и теперь пользователь должен войти на портал Azure с этим новым доменным именем. name.surname@targetazuredomain.onmicrosoft.com. Отобразится диалоговое окно изменения пароля, пользователь должен изменить пароль и, наконец, получит доступ к ресурсам и сможет создавать новые учетные записи службы автоматизации с учетными записями RunAs.
Чтобы предоставить этой пользовательской подписке права владельца, администратор должен добавить пользователя с name.surname@targetazuredomain.onmicrosoft.com еще раз в список управления доступом (IAM) с ролью владельца. Таким образом, вы можете получить две учетные записи в списке IAM - одну для учетной записи Microsoft, а другую - для локальной учетной записи AD; но тот, у которого есть учетная запись Microsoft, больше не так полезен, потому что у него нет доступа к домену Azure подписки.
По сути, это означает, что единый вход для учетной записи Microsoft для Azure мертв - вы не можете войти в несколько подписок Azure и рассчитывать на получение там полных разрешений. Вы должны переключаться на учетную запись «подлинного домена» для каждой подписки, которой вы не владеете.