我正在尝试删除Azure租户对用户的权限以创建新的订阅。
查找的唯一方法是创建用户时Active Directory中的GlobalReader角色。 但是通过这种方法,用户可以看到活动目录,而在未经用户许可的情况下,我将其阻止。
我还尝试在管理组的租户根目录中创建一个rbac。但是当我只是读者角色时,用户可以再次创建一个新订阅。
答案 0 :(得分:0)
Azure RBAC仅用于控制Azure订阅资源的访问,不适用于创建Azure订阅。
对于基于this official doc创建Azure订阅,仅具有billing roles的用户:
发票部分所有者,发票部分贡献者,Azure 订阅创建者
将能够创建Azure订阅。
结算角色属于您的billing account。 This doc很好地描述了与计费帐户之间的关系。
希望有帮助。