Azure 基础篇：在 Azure Active Directory管理用户和组的相关介绍

51CTO 博客地址：https://blog.51cto.com/14669127

博客园博客地址：https://www.cnblogs.com/Nancy1983 

Azure Subscription是一个容器，很多企业都选择在Azure上provision一些资源，比如VMs，Databases等等，当然也会用来开发和部署基于云的应用程序，使用比较复杂的人工智能服务等等，为了新建和使用Azure服务，跟公司申请一个Azure Subscription账号，若你仅限于学习Azure基础功能，那么也可以访问网站：https://azure.microsoft.com/en-us/free/ 申请一个free account，以下服务可以free使用12个月。

 

 以下是3个特定访问Azure的链接地址：

• Azure Government：https://portal.azure.us/
• AzureGermany：https://portal.microsoftazure.de/
• Azure in China （21 Vianet）：https://portal.azure.cn

企业的IT将平台架构在云中，不限于服务器，网站或数据，这对企业来说最大的挑战就是安全性，需要考虑如何保护这些资源，如何识别用户身份，且允许他们访问那些资源或者数据等等，为了解决企业的这些需求和顾虑，Microsoft 在Azure上提供了Azure Active Directory，是基于云的身份和访问管理服务，可以提供Single sign-on登录或者多重身份验证机制，用来控制访问一些应用程序或者SaaS产品，比如Office 365, Salesforce 或者Dropbox等等，从而帮助企业保护用户免受网络安全攻击。

如果客户已经部署了Windows AD Server，那么也可以连接到Azure AD，将本地的Directory扩展到Azure上，这样用户就可以使用相同的credentials访问本地或者基于云端的资源。

 

 企业一般都会使用默认的Azure AD Directory来管理用户授权或者与他们本地的Windows 服务器AD目录同步，但如果有一些开发任务的情况下，如果你是Azure Owner，那么可以有权限单独创建一个额外的Directory来为开发和测试提供资源，具体操作步骤：

1. 登录Azure Portal，Https://Portal.Azure.com ，在资源管理器页面，选择“创建资源”，如下图所示：

 

 2. 在新建页面，点击导航中的“标识”，然后点击“Azure Active Directory”，如下图所示：

 

 3. 在创建目录页面，输入组织名称，初始域名和国家区域，然后点击“创建”

说明：

• 虽然这里的默认域名不能更改，但稍后你可以根据实际需求添加自定义域名，这样用户就可以使用传统的域名地址或者邮件地址，比如Nancy@contoso.com
• 国家区域，意味着你将Directory实例创建在哪个区域的Azure数据中心，日后将无法更改

 

 一旦Directory创建完成，你就可以添加用户，创建Role，注册APPS和Devices或者控制一些Licenses等等。

Azure用户，通常情况下，Azure AD通过以下三种方式定义用户：

• Cloud Identities：这些用户只存在Azure AD中，属于组织内部的用户
• Directory-Synchronized Identities：这些用户存在On-Premises Active Directory中，通过Azure AD Connect将用户同步到Azure中，但用户和组的管理仍旧在Windows Server AD端
• Guest User：这些用户是Azure的外部的受邀请用户，比如Vendor或者Contractors等等，需要访问Azure资源时，可以邀请他们，一旦不需要他们继续帮助，可以删除这些用户。

Azure AD Group，可以更容易的管理用户和权限，管理员可以直接给Group一套访问权限，而不需要为每个用户逐一授权，Azure AD提供了2种类型的Group：

• Security Group：这些比较常见的，用来为一组用户提供共享资源的访问，比如创建一个Security Group，拥有特定的Security Policy，这样你就可以直接给这个组授权，而不需要单一为每个用户做特殊处理。
• Office 365 Group：为用户提供更多协作的机会，比如Shared Mailbox，Calender，Files以及SharePoint Site等等。

Azure AD还提供了内置的Role来管理一些比较常见的Security Scenarios，以下是应用于所有资源类型的是三个Roles：

• Owner：对所有资源都有访问权限，包含给其他人授权
• Contributor：创建和管理所有类型的Azure Resource，但不包含给其他人授权
• Reader：只能浏览已存在的Azure Resource

也可以根据需求，通过Azure Portal，Azure PowerShell，Azure Graph API来创建新的Role。

关于Azure AD User 同步相关资源，请参照之前分享的Blog。

• 还没有人评论，欢迎说说您的想法！