我们的产品是用于Azure(CloudMonix)的SaaS监视产品。通过ARM API连接到客户的Azure订阅的方法之一是创建针对我们的AD应用程序授权的服务主体。
我们使用本文来启用此授权,并且所有工作都很出色:https://azure.microsoft.com/zh-cn/documentation/articles/resource-manager-api-authentication/
问题是,通常我们的用户无法访问最初用于创建订阅的超级管理员帐户。他们有自己的“共同管理员”帐户。这些用户需要具有什么额外的权限才能同意我们的AD应用访问他们的AD?他们在两个Azure门户中的任何一个中在何处添加这些权限?
TIA
为了同意需要管理员权限的应用程序,用户需要在Azure AD租户中具有“全局管理员(GA)”角色。这与在Azure订阅中具有服务管理员或共同管理员角色不同。
只有现有的GA才能授予其他用户GA权限。这意味着,如果您的用户无法执行管理员同意,那么他们也将无法使自己成为Azure AD GA。对于您的方案,最可能的解决方案是让用户联系其IT部门或设置Azure AD租户或O365的任何人,并要求他们以其GA凭据同意该应用程序。一旦管理员同意该应用程序(因为他们是以管理员身份进行操作),则同意将代表所有用户应用,因此,此后没有其他用户需要同意该应用程序。
有关Azure AD与Azure订阅之间关系的更多详细信息,请参见下面的文章:https : //blogs.technet.microsoft.com/ad/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure -ad-2 /
万一您仍然需要有关如何使某人成为Azure AD中的全局管理员的说明,请按照以下说明进行操作:-来自https://azure.microsoft.com/zh-cn/documentation/articles/active-directory-分配管理员角色/
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句