在一个Azure订阅上,我有默认的AD和第二个新创建的AD,比如"MyCustomerAD"
我希望其他人能够管理MyCustomerAD,允许他们通过门户添加、删除用户、组等。
其他人没有Azure订阅,但他们有一个Microsoft帐户。
我如何允许其他人管理Azure AD,而不要求他们购买订阅,也不让他们成为我订阅的联合管理员?
我不确定你想做什么是可能的,但以下是我在尝试将管理访问委派给订阅中的单个Azure AD租户的经验。
首先,要访问Azure管理门户(并管理Azure AD租户),您必须使用与Azure订阅关联的登录名。在您的情况下,就像在我的情况下一样,这意味着向订阅添加一个联合管理员。我知道这对你来说可能不是一个开始,但我最终做的是创建一个第二个订阅。这样可以避免在主订阅中添加联合管理员。(潜在的)缺点是,联合管理员可以在第二个订阅中启动可计费服务。
作为Azure帐户管理员:
- 创建新订阅
- 如有必要,创建新目录(例如
mycustomerad.onmicrosoft.com) - 将新用户添加到目录(例如
john.doe@mycustomerad.onmicrosoft.com),并使该用户成为Global Admin此是您将用于委派对目录的管理员访问权限的帐户 - 将新订阅的目录更改为新目录。在门户中,
Settings -> Subscriptions -> Select Subscription -> Edit Directory - 将新用户添加为订阅的联合管理员。在门户中,
Settings -> Subscriptions -> Administrators- 输入新用户的电子邮件地址
- 新订阅的复选框
作为联合管理员:
- 转到manage.windowsazure.com
- 以新用户身份登录(例如
john.doe@mycustomerad.onmicrosoft.com) - 管理门户应提供对目录的管理访问(例如
mycustomerad.onmicrosoft.com)