Blog Address:https://blog.51cto.com/14669127

Azure Subscription是一个容器,很多企业都选择在Azure上provision一些资源,比如VMs,Databases等等,当然也会用来开发和部署基于云的应用程序,使用比较复杂的人工智能服务等等,为了新建和使用Azure服务,你跟公司申请一个Azure Subscription 账号,若你仅限于学习Azure 基础功能,那么也可以访问网站:https://azure.microsoft.com/en-us/free/ 申请一个free account,以下服务可以free使用12个月。

Azure 基础篇:在 Azure Active Directory管理用户和组的相关介绍_第1张图片

以下是3个特定区访问Azure的链接地址:

  • Azure Government: https://portal.azure.us/
  • Azure Germany: https://portal.microsoftazure.de/
  • Azure in China(21Vianet): https://portal.azure.cn/

企业的IT将平台架构在云中,不限于服务器,网站或者数据,这对企业来说最大的挑战就是安全性,需要考虑如何保护这些资源,如何识别用户身份,且允许他们访问哪些资源和数据等等,为了解决企业的这些需求和顾虑,Microsoft 在 Azure上提供了Azure Active Directory,是基于云的身份和访问管理服务,可以提供single sign-on登录或者多重身份验证机制,用来控制访问一些应用程序或者SaaS产品,比如Office 365, Salesforce或者Dropbox等等,从而帮助企业保护用户免受网络安全***。

如果客户已经部署Windows AD Server,那么也可以连接Azure AD,将本地的directory扩展到Azure上,这样用户就可以使用相同的credentials访问本地或者基于云端的资源。

Azure 基础篇:在 Azure Active Directory管理用户和组的相关介绍_第2张图片

企业一般都会使用默认的Azure AD Directory 来管理用户授权或者与他们本地的Windows服务器AD目录同步,但如果有一些开发任务的情况下,如果你是Azure owner,那么可以有权限单独创建一个额外的directory来为开发和测试提供资源,具体操作步骤:

1.登录Azure Portal: https://portal.azure.com/ , 在资源管理器页面,选择“创建资源”,如下图所示:

Azure 基础篇:在 Azure Active Directory管理用户和组的相关介绍_第3张图片

2.在新建页面,点击导航中的“标识”,然后点击“Azure Active Directory”,如下图所示:

Azure 基础篇:在 Azure Active Directory管理用户和组的相关介绍_第4张图片

3.在创建目录页面,输入组织名称、初始域名和国家区域,然后点击“创建”

说明:

  • 虽然这里的默认域名不能更改,但是稍后你可以根据实际需要添加自定义域名,这样用户就可以使用传统的域名地址或者邮件地址,比如 [email protected]
  • 国家区域,意味着你将Directory 实例创建在哪个区域的Azure 数据中心上,日后将无法更改

Azure 基础篇:在 Azure Active Directory管理用户和组的相关介绍_第5张图片

一旦Directory创建完成,你就可以添加用户,创建role,注册apps和devices或者控制一些licenses等等。

Azure 用户,通常情况下,Azure AD通过以下三种方式定义用户:

  • Cloud identities:这些用户只存在于Azure AD中,属于组织内部用户。
  • Directory-Synchronized identities:这些用户存在On-premises Active Directory中,通过Azure AD Connect 将用户同步到Azure中,但是用户和组的管理仍旧在Windows Server AD端。
  • Guest Users:这些用户是Azure的外部的受邀请的用户。比如vendor或者contractors等等,需要访问Azure 资源时,可以邀请他们,一旦不需要他们继续帮助,可以删除这些用户。

Azure AD Group,可以更容易的管理用户和权限,管理员可以直接给Group一套访问权限,而不需要为每个用户逐一授权,Azure AD 提供了2种Group类型:

  • Security Group:这是比较常见的,用来为一组用户提供共享资源的访问,比如创建一个security group,拥有特定的security policy,这样你就可以直接给这个组授权,而不需要单一为每个用户做特殊处理。
  • Office 365 Group:为用户提供更多协作的机会,比如shared mailbox,calendar,files以及SharePoint site 等等。

Azure AD 还提供了内置的Role来管理一些比较常见的security scenarios,以下是应用于所有资源类型的三个Role:

  • Owner:对所有资源都有访问权限,包含给其他人授权
  • Contributor:创建和管理所有类型的Azure Resource,但不包含给其他人授权
  • Reader:只能浏览已存在的Azure Resource

也可以根据需求,通过Azure Portal、Azure PowerShell、Azure Graph API 来创建新的Role。

关于Azure AD user 同步相关资料:

  • Azure AD User 同步 _ 部署Azure AD Connect考量点
  • Azure AD User 同步 _ User Attribute 和 特定OU 同步考量点