1

我们的产品是 Azure ( CloudMonix ) 的 SaaS 监控产品。它通过 ARM API 连接到客户的 Azure 订阅的一种方法是创建针对我们的 AD 应用程序授权的服务主体。

我们使用这篇文章来启用此授权并且所有工作都很棒:https ://azure.microsoft.com/en-us/documentation/articles/resource-manager-api-authentication/

问题是,我们的用户通常无权访问最初用于创建订阅的超级管理员帐户。他们有自己的“共同管理员”帐户。这些用户需要哪些额外权限才能同意我们的 AD 应用访问他们的 AD?他们在两个 Azure 门户中的哪一个中添加这些权限?

TIA

4

1 回答 1

1

为了同意需要管理员权限的应用程序,用户需要在 Azure AD 租户中拥有“全局管理员 (GA)”角色。这与在 Azure 订阅中拥有服务管理员或共同管理员角色不同。

只有现有的 GA 可以授予其他用户 GA 权限。这意味着,如果您的用户无法执行管理员同意,他们也将无法使自己成为 Azure AD GA。您的方案最可能的解决方案是让用户联系其 IT 部门或设置 Azure AD 租户或 O365 的人员,并要求他们使用其 GA 凭据同意应用程序。一旦管理员同意该应用程序,因为他们是以管理员身份进行的,因此将代表所有用户应用同意,因此在此之后没有其他用户需要同意该应用程序。

有关 Azure AD 和 Azure 订阅之间关系的更多详细信息,请参阅以下文章: https ://blogs.technet.microsoft.com/ad/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure -ad-2/

以防万一您仍然需要有关如何使某人成为 Azure AD 中的全局管理员的说明,请参阅以下说明:-来自https://azure.microsoft.com/en-us/documentation/articles/active-directory-分配管理员角色/

  1. 在 Azure 经典门户中,单击 Active Directory,然后单击组织目录的名称。
  2. 在“用户”页面上,单击要编辑的用户的显示名称。
  3. 在“组织角色”列表中,选择要分配给该用户的管理员角色,或者如果要删除现有管理员角色,请选择“用户”。
  4. 在备用电子邮件地址框中,键入电子邮件地址。此电子邮件地址用于重要通知,包括密码自重置,因此无论用户是否可以访问 Azure,用户都必须能够访问该电子邮件帐户。
  5. 选择允许或阻止以指定是否允许用户登录和访问服务。
  6. 从使用位置下拉列表中指定一个位置。
  7. 完成后,单击保存
于 2016-05-29T06:54:51.587 回答