假设我有两个Microsoft帐户:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount2@outlook.com
我登录到Azure Account Center并为每个帐户创建两个订阅:
- MicrosoftAccount1@outlook.com
- Subscription1a
- Subscription1b
- MicrosoftAccount2@outlook.com
- Subscription2a
- Subscription2b
每个帐户包含一个帐户管理员和一个业务管理员,并且帐户管理员可以修改业务管理员。因此,例如,我可以将所有订阅的控制权交给一个服务管理员,并且在Management Portal中,看起来该帐户拥有所有订阅:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount2@outlook.com
- Subscription1a
- Subscription1b
- Subscription2a
- Subscription2b
但是帐户管理员没有更改,所以实际上,每个帐户仍然拥有其原来的两个订阅。帐户管理员总是可以通过将其服务管理员更改为自己来收回订阅的控制权。
然后我登录到Azure管理门户,创建一些存储帐户,web应用程序,SQL数据库和其他Azure资源。每个资源属于一个订阅,每个订阅由一个帐户拥有:
- MicrosoftAccount1@outlook.com
- Subscription1a存储账户
- web应用 SQL数据库
- Subscription1b存储账户
- web应用 SQL数据库
- Subscription1a存储账户
- MicrosoftAccount2@outlook.com
- Subscription2a存储账户
- web应用 SQL数据库
- Subscription2b存储账户
- web应用 SQL数据库
- Subscription2a存储账户
所以我可以说,最终,每个Azure资源都由其订阅的帐户管理员拥有。
Azure还为每个帐户创建了一个活动目录,由两个订阅共享。当我查看管理门户时,活动目录看起来就像另一个Azure资源,除了它属于两个订阅:
- MicrosoftAccount1@outlook.com
- Subscription1a存储账户
- web应用 SQL数据库
- MicrosoftAccount1outlook.onmicrosoft.com(共享)
- Subscription1b存储账户
- web应用 SQL数据库
- MicrosoftAccount1outlook.onmicrosoft.com(共享)
- Subscription1a存储账户
- MicrosoftAccount2@outlook.com
- Subscription2a存储账户
- web应用 SQL数据库
- MicrosoftAccount2outlook.onmicrosoft.com(共享)
- Subscription2b存储账户
- web应用 SQL数据库
- MicrosoftAccount2outlook.onmicrosoft.com(共享)
- Subscription2a存储账户
我甚至可以在管理门户中创建更多的活动目录,这是我创建存储帐户,web应用程序和SQL数据库的地方,所以它真的看起来像一个活动目录只是另一个Azure资源,可以属于多个订阅:
- MicrosoftAccount1@outlook.com
- Subscription1a存储账户
- web应用 SQL数据库
- MicrosoftAccount1outlook.onmicrosoft.com(共享)
- MicrosoftAccount1outlook2.onmicrosoft.com(共享)
- Subscription1b存储账户
- web应用 SQL数据库
- MicrosoftAccount1outlook.onmicrosoft.com(共享)
- MicrosoftAccount1outlook2.onmicrosoft.com(共享)
- Subscription1a存储账户
- MicrosoftAccount2@outlook.com
- Subscription2a存储账户
- web应用 SQL数据库
- MicrosoftAccount2outlook.onmicrosoft.com(共享)
- MicrosoftAccount2outlook2.onmicrosoft.com(共享)
- Subscription2b存储账户
- web应用 SQL数据库
- MicrosoftAccount2outlook.onmicrosoft.com(共享)
- MicrosoftAccount2outlook2.onmicrosoft.com(共享)
- Subscription2a存储账户
然而,我又玩了一会儿,我意识到我把它弄反了。活动目录不属于订阅;订阅属于活动目录。我可以更改哪些订阅被分配给哪些目录。然后,在Management Portal中选择一个目录,它会显示该目录的订阅及其资源:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount1outlook.onmicrosoft.com
- Subscription1a存储账户
- web应用 SQL数据库
- Subscription1a存储账户
- MicrosoftAccount1outlook2.onmicrosoft.com
- Subscription1b存储账户
- web应用 SQL数据库
- Subscription1b存储账户
- MicrosoftAccount1outlook.onmicrosoft.com
- MicrosoftAccount2@outlook.com
- MicrosoftAccount2outlook.onmicrosoft.com
- MicrosoftAccount2outlook2.onmicrosoft.com
- Subscription2a存储账户
- web应用 SQL数据库
- Subscription2b存储账户
- web应用 SQL数据库
- Subscription2a存储账户
现在看起来帐户管理员拥有活动目录,而活动目录拥有订阅。然而,我又玩了一会儿,我也不认为这是对的。我可以将第一个帐户设置为所有四个订阅的服务管理员。第二个帐户可以将第一个帐户添加为每个目录中的用户,并将其设置为全局管理员。然后,第一个帐户可以从每个目录中删除第二个帐户。现在,第一个帐户可以管理所有四个目录的订阅,并且是所有四个目录中唯一的用户和全局管理员,第二个帐户甚至不能再登录到管理门户,因此看起来第一个帐户拥有一切:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount1outlook.onmicrosoft.com
- Subscription1a存储账户
- web应用 SQL数据库
- Subscription1a存储账户
- MicrosoftAccount1outlook2.onmicrosoft.com
- Subscription1b存储账户
- web应用 SQL数据库
- Subscription1b存储账户
- MicrosoftAccount2outlook.onmicrosoft.com
- MicrosoftAccount2outlook2.onmicrosoft.com
- Subscription2a存储账户
- web应用 SQL数据库
- Subscription2b存储账户
- web应用 SQL数据库
- Subscription2a存储账户
- MicrosoftAccount1outlook.onmicrosoft.com
- MicrosoftAccount2@outlook.com
第二个帐户仍然拥有两个订阅,因为他是帐户管理员,但是没有任何东西说他拥有两个目录。第二个帐户管理员可以收回对他的两个订阅的控制,但我不知道他如何收回对他的两个目录的控制。此外,只要他不是任何活动目录的成员,他甚至不能创建任何更多的订阅;Azure不会像创建第一个目录那样创建另一个目录。那么,在这一点上,谁拥有活动目录MicrosoftAccount2outlook.onmicrosoft.com和MicrosoftAccount2outlook2.onmicrosoft.com?
我甚至可以让一个目录拥有属于不同帐户管理员的订阅:
- MicrosoftAccount1@outlook.com
- MicrosoftAccount1outlook.onmicrosoft.com
- Subscription1a存储账户
- web应用 SQL数据库
- Subscription1b存储账户
- web应用 SQL数据库
- Subscription2a存储账户
- web应用 SQL数据库
- Subscription2b存储账户
- web应用 SQL数据库
- Subscription1a存储账户
- MicrosoftAccount1outlook2.onmicrosoft.com
- MicrosoftAccount2outlook.onmicrosoft.com
- MicrosoftAccount2outlook2.onmicrosoft.com
- MicrosoftAccount1outlook.onmicrosoft.com
- MicrosoftAccount2@outlook.com
为了使事情更有趣,我可以在一个目录中创建一个用户,而不是Microsoft帐户;它只是一个目录帐户。然后我可以登录到管理门户作为目录帐户和创建另一个目录。新目录中唯一的用户和全局管理员是创建它的目录帐户;它没有微软账户所有者。谁拥有那个目录?
甚至可以认为活动目录拥有原始的Microsoft帐户,因为Microsoft帐户是活动目录中的用户。因此,如果活动目录拥有Microsoft帐户,而Microsoft帐户拥有订阅,那么谁拥有活动目录?(编辑:在第二个想法,它没有意义的目录拥有微软帐户,因为一个微软帐户可以是多个目录中的用户,这将意味着帐户有多个所有者。划痕。一个人拥有微软的帐户。Microsoft帐户拥有订阅,或者活动目录拥有订阅。谁拥有活动目录?)
我不认为Azure AD租户(目录的同义词,但在文献中更常见的名称)的"所有者"概念有意义。在Azure门户中登录时,您将看到当前登录的用户所在的所有租户都是成员。无论用户是MSA(微软帐户)还是组织帐户(@.onmicrosoft.com或@),都是如此。不管租户是怎么来的,这也是事实。有人可能创建了一个新的Office 365订阅,该订阅附带一个Azure AD租户,然后将用于Azure订阅的MSA作为新用户添加到该租户。下次你登录Azure门户时,在你的目录中,你也会看到这个新租户——只是因为你是这个租户的用户,你有权用它做一些事情(比如创建新的应用程序)。底线:Azure AD租户独立于Azure订阅而存在。Azure AD租户在您注册Azure时自动配置,并且您的订阅管理员(或任何门户用户)将自动添加到在操作门户时创建的任何新的Azure AD租户,但我希望O365示例展示了如何创建Azure AD租户的方法之一。唯一不适合上面的事情是,您的订阅中确实有一个默认目录,它具有特殊属性-但是,我认为我不会谈论所有权。HTH