搜索了SO,互联网,文档,但找不到最佳答案。可能是您会知道答案,或者在适当的时候将我转给我。
在Azure中,我们确实为目录分配了1个订阅。在此目录中,我们有一个用户,该用户: *是订阅的所有者 *不是AzureAD管理员(用户没有其他权限)。该用户无法使用当前广告添加/删除用户/组。
但是,我们发现这样的用户可以创建目录,他可以在该目录中自动分配给全局管理员角色(创建/删除用户/组等),并且可以超过已订阅的订阅权限移至他拥有和管理的新创建目录
这当然不是我们期望的,因为我们希望能够控制任何AD和用户访问管理。
我还找不到拒绝目录中所有用户创建单独目录的方法。
您对此有一些经验和/或建议吗?
致谢
答案 0 :(得分:0)
忘记它;)刚刚在AzureAD下找到了“限制对Azure AD管理门户的访问”选项,它限制了对AD本身的访问。