我们的产品是Azure(CloudMonix)的SaaS监控产品。通过ARM API连接到客户的Azure订阅的方法之一是创建一个针对我们的AD应用程序授权的服务主体。
我们使用这篇文章是为了启用此授权,所有工作都很奇妙:https://azure.microsoft.com/en-us/documentation/articles/resource-manager-api-authentication/
问题是,我们的用户通常无法访问最初用于创建订阅的超级管理员帐户。他们有自己的“共同管理员”帐户。这些用户需要具备哪些额外权限才能同意我们的AD应用访问其AD?他们在哪两个Azure门户中添加这些权限?
TIA
答案 0 :(得分:1)
为了同意需要管理员权限的应用程序,用户需要拥有"全局管理员(GA)" Azure AD租户中的角色。这与Azure订阅中的服务管理员或共同管理员角色不同。
只有现有的GA才能授予其他用户GA权限。这意味着,如果您的用户无法执行管理员同意,他们也无法自己制作Azure AD GA。您的方案最可能的解决方案是让用户联系其IT部门或任何设置Azure AD租户或O365的人,并要求他们同意使用其GA凭据的应用程序。一旦管理员同意该应用程序,因为他们将其作为管理员执行,将代表所有用户同意,因此在此之后其他用户无需同意该应用程序。
有关Azure AD和Azure订阅之间关系的更多详细信息,请参阅以下文章: https://blogs.technet.microsoft.com/ad/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure-ad-2/
如果您仍然需要有关如何在Azure AD中将某人设为全局管理员的说明,请参阅以下说明: - 来自https://azure.microsoft.com/en-us/documentation/articles/active-directory-assign-admin-roles/