Azure 基礎篇：在 Azure Active Directory管理用戶和組的相關介紹

本文轉載自查看原文 2020-10-07 11:01 617 Azure 基礎學習

51CTO 博客地址：https://blog.51cto.com/14669127

博客園博客地址：https://www.cnblogs.com/Nancy1983

Azure Subscription是一個容器，很多企業都選擇在Azure上provision一些資源，比如VMs，Databases等等，當然也會用來開發和部署基於雲的應用程序，使用比較復雜的人工智能服務等等，為了新建和使用Azure服務，跟公司申請一個Azure Subscription賬號，若你僅限於學習Azure基礎功能，那么也可以訪問網站：https://azure.microsoft.com/en-us/free/ 申請一個free account，以下服務可以free使用12個月。

以下是3個特定訪問Azure的鏈接地址：

Azure Government：https://portal.azure.us/
AzureGermany：https://portal.microsoftazure.de/
Azure in China （21 Vianet）：https://portal.azure.cn

企業的IT將平台架構在雲中，不限於服務器，網站或數據，這對企業來說最大的挑戰就是安全性，需要考慮如何保護這些資源，如何識別用戶身份，且允許他們訪問那些資源或者數據等等，為了解決企業的這些需求和顧慮，Microsoft 在Azure上提供了Azure Active Directory，是基於雲的身份和訪問管理服務，可以提供Single sign-on登錄或者多重身份驗證機制，用來控制訪問一些應用程序或者SaaS產品，比如Office 365, Salesforce 或者Dropbox等等，從而幫助企業保護用戶免受網絡安全攻擊。

如果客戶已經部署了Windows AD Server，那么也可以連接到Azure AD，將本地的Directory擴展到Azure上，這樣用戶就可以使用相同的credentials訪問本地或者基於雲端的資源。

企業一般都會使用默認的Azure AD Directory來管理用戶授權或者與他們本地的Windows 服務器AD目錄同步，但如果有一些開發任務的情況下，如果你是Azure Owner，那么可以有權限單獨創建一個額外的Directory來為開發和測試提供資源，具體操作步驟：

1. 登錄Azure Portal，Https://Portal.Azure.com ，在資源管理器頁面，選擇“創建資源”，如下圖所示：

2. 在新建頁面，點擊導航中的“標識”，然后點擊“Azure Active Directory”，如下圖所示：

3. 在創建目錄頁面，輸入組織名稱，初始域名和國家區域，然后點擊“創建”

說明：

雖然這里的默認域名不能更改，但稍后你可以根據實際需求添加自定義域名，這樣用戶就可以使用傳統的域名地址或者郵件地址，比如Nancy@contoso.com
國家區域，意味着你將Directory實例創建在哪個區域的Azure數據中心，日后將無法更改

一旦Directory創建完成，你就可以添加用戶，創建Role，注冊APPS和Devices或者控制一些Licenses等等。

Azure用戶，通常情況下，Azure AD通過以下三種方式定義用戶：

Cloud Identities：這些用戶只存在Azure AD中，屬於組織內部的用戶
Directory-Synchronized Identities：這些用戶存在On-Premises Active Directory中，通過Azure AD Connect將用戶同步到Azure中，但用戶和組的管理仍舊在Windows Server AD端
Guest User：這些用戶是Azure的外部的受邀請用戶，比如Vendor或者Contractors等等，需要訪問Azure資源時，可以邀請他們，一旦不需要他們繼續幫助，可以刪除這些用戶。

Azure AD Group，可以更容易的管理用戶和權限，管理員可以直接給Group一套訪問權限，而不需要為每個用戶逐一授權，Azure AD提供了2種類型的Group：

Security Group：這些比較常見的，用來為一組用戶提供共享資源的訪問，比如創建一個Security Group，擁有特定的Security Policy，這樣你就可以直接給這個組授權，而不需要單一為每個用戶做特殊處理。
Office 365 Group：為用戶提供更多協作的機會，比如Shared Mailbox，Calender，Files以及SharePoint Site等等。

Azure AD還提供了內置的Role來管理一些比較常見的Security Scenarios，以下是應用於所有資源類型的是三個Roles：

Owner：對所有資源都有訪問權限，包含給其他人授權
Contributor：創建和管理所有類型的Azure Resource，但不包含給其他人授權
Reader：只能瀏覽已存在的Azure Resource

也可以根據需求，通過Azure Portal，Azure PowerShell，Azure Graph API來創建新的Role。

關於Azure AD User 同步相關資源，請參照之前分享的Blog。

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 Windows Azure Active Directory (2) Windows Azure AD基礎在 Azure Active Directory 中分配管理員角色 Windows Azure Active Directory (3) China Azure AD增加新用戶 Azure AD（五）使用多租戶應用程序模式讓任何 Azure Active Directory 用戶登錄 Azure 解決方案：Azure Active Directory 集成功能使用 PowerShell 管理 Active Directory 組 Active Directory管理之二:用戶管理 SRV記錄用來標識某台服務器使用了某個服務，常見於微軟系統的目錄管理——深入的話需要去折騰Azure Active Directory Django基礎篇--用戶權限管理和組管理如何使用 Azure Active Directory 認證和 Microsoft Graph 構建 Blazor Web 應用