So autorisieren Sie das Azure-Benutzerkonto ordnungsgemäß, damit es einen Dienstprinzipal erstellen kann?

Question

Unser Produkt ist ein SaaS-Überwachungsprodukt für Azure (CloudMonix). Eine der Möglichkeiten, die Azure-Abonnements von Kunden über die ARM-API herzustellen, besteht darin, einen für unsere AD-Anwendung autorisierten Service-Principal zu erstellen.

Wir haben diesen Artikel, um diese Genehmigung zu ermöglichen und alle Arbeiten wonderfuly: https://azure.microsoft.com/en-us/documentation/articles/resource-manager-api-authentication/

Das Problem ist, oft unsere Benutzer haben keinen Zugriff auf das Super-Admin-Konto, das ursprünglich das Abonnement zu erstellen, wurde verwendet. Sie haben ihre eigenen "Co-Administrator" -Konten. Welche zusätzlichen Berechtigungen müssen diese Nutzer haben, um der AD-App für den Zugriff auf ihre AD zuzustimmen? Wo fügen sie diese Berechtigungen in einem der beiden Azure-Portale hinzu?

TIA

Answer 1

Um Anwendungen zu willigen, die Admin-Berechtigungen erforderlich muss der Benutzer den "Global Admin (GA)" Rolle in der Azure AD Mieter haben. Dies unterscheidet sich von den Rollen des Dienstadministrators oder Co-Administrators in einem Azure-Abonnement.

Nur vorhandene GAs können einem anderen Benutzer GA-Rechte gewähren. Dies bedeutet, dass Benutzer, die nicht in der Lage sind, eine Administratorzustimmung durchzuführen, auch keine Azure AD-GAs erstellen können. Die wahrscheinlichste Lösung für Ihr Szenario besteht darin, dass der Benutzer seine IT-Abteilung oder den Azure AD-Mandanten oder O365 anruft und ihn auffordert, der Anwendung mit seinen GA-Anmeldeinformationen zuzustimmen. Sobald der Administrator der Anwendung zustimmt, weil er dies als Administrator tut, wird die Zustimmung im Namen aller Benutzer angewendet, und folglich muss kein anderer Benutzer danach der Anwendung zustimmen.

den Artikel unten finden Sie weitere Informationen rund um die Beziehung zwischen Azure AD und Abonnements Azure: https://blogs.technet.microsoft.com/ad/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure-ad-2/

Und für den Fall, dass Sie immer noch Anweisungen, wie jemand ein globaler admin in Azure AD zu machen, ist hier die Anweisungen für diese: - von https://azure.microsoft.com/en-us/documentation/articles/active-directory-assign-admin-roles/

1. im Azure klassischen Portal, klicken Sie auf Active Directory, und klicken Sie dann auf den Namen Ihres Unternehmens-Verzeichnis.
2. Klicken Sie auf der Seite Benutzer auf den Anzeigenamen des Benutzers, den Sie bearbeiten möchten.
3. Wählen Sie in der Liste Organisationsrolle die Administratorrolle aus, die Sie diesem Benutzer zuweisen möchten, oder wählen Sie Benutzer, wenn Sie eine vorhandene Administratorrolle entfernen möchten.
4. Geben Sie im Feld Alternative E-Mail-Adresse eine E-Mail-Adresse ein. Diese E-Mail-Adresse wird für wichtige Benachrichtigungen verwendet, z. B. für das Zurücksetzen des Kennworts, sodass der Benutzer auf das E-Mail-Konto zugreifen können muss, unabhängig davon, ob der Benutzer auf Azure zugreifen kann oder nicht.
5. Wählen Sie Zulassen oder Blockieren, um anzugeben, ob der Benutzer sich anmelden und auf Dienste zugreifen darf.
6. Geben Sie einen Speicherort aus der Dropdown-Liste Verwendungsort an.
7. Wenn Sie fertig sind, klicken Sie auf Speichern