我对 Azure 中的租户概念及其与 B2B 和 B2C 租户的关系有疑问。 根据定义,“Azure AD 将用户和应用程序组织到称为租户的组中”。 这里 App 代表资源组中的虚拟机、存储磁盘等吗?
其次,它提到订阅一次只能与一个 AD 租户关联。 如果是这样,B2B 和 B2C 用户如何使用订阅下的资源,其中 B2B 和 B2C 作为单独的租户进行管理?
请您澄清这个概念。
问候, Vinoth K Balu
答案 0 :(得分:0)
Azure 订阅属于 Azure 租户(或组织)。 (这种关系起初对我来说并不直观,因为您注册了 Azure 订阅,并且“拥有”Azure 租户会在后台自动为您创建。)
您在注册过程中创建的管理员凭据代表 Azure AD 用户(在您的新租户中),并且 - 作为 Azure 租户的全局管理员 - 该用户可以在订阅中创建资源。
Azure AD 有付费版本,但大多数人都是从免费层开始的,因此订阅中的资源(例如,VM)是您支付的费用,而订阅是您支付的方式。如果同一家公司有两个项目并且想要分别跟踪 Azure 成本的计费,它可以创建第二个订阅(在原始租户下)并在适当的订阅中创建资源以按需要保持计费。 (账单问题是我能想到的唯一原因,您会在同一个租户中创建多个订阅。)
Azure AD 用户可以登录到 Azure 门户并创建/管理资源,但通常,如果您创建 Windows VM - 您将使用本地管理员帐户使用资源(通过 RDP 登录) (就像物理服务器一样),而不是您的 Azure AD 用户凭据。
Azure AD 不是(本地)Active Directory 的云版本。由于名称,我认为这是一个常见的误解。
Microsoft 365(以前称为 Office 365)用户实际上是 Azure AD 用户。 Microsoft 将这些称为“工作/学校”帐户以区分它们和(消费者)“Microsoft 帐户”。 (这些东西的命名增加了讨论它们的复杂性。)在 Windows 10 中,可以将计算机加入 Azure AD 域并使用“工作/学校”(实际上是 Azure AD)用户登录计算机,但是这与使用(本地)Active Directory 帐户登录不同。
因此(至少现在),大多数情况下,您会使用 Azure AD 用户凭据登录 Azure 门户并管理资源,但通常会使用传统凭据登录 VM。
此处使用的“应用程序”是指使用 Azure AD 进行身份验证的应用程序(通常是 Web 应用程序)(类似于使用 Okta、Google 或 Facebook 作为身份提供者的方式)。
B2C 租户实际上仅在此上下文中使用。如果你的主要 Azure AD 租户是你公司用户的目录,并且你已经开发了一个 Web 应用程序 - 你可以创建一个单独的 B2C 租户来保存该应用程序的用户。 B2C 租户不会有订阅或任何资源(如 VM)——只有用于验证应用程序的用户、组等。
我不知道他们是 B2B“租户”。 B2B 功能允许你向另一个 Azure 租户/组织中的用户提供来宾访问权限,该用户已获得对租户的访问权限。与设置传统 AD 域信任有点平行。
说了这么多,如果您设置了一个 VM 并希望向最终用户授予 RDP 或 SSH 访问权限 - 您可以在 VM 中进行设置,而不必担心创建 Azure AD 用户。您还可以在 Azure 中运行的 Windows VM 上运行传统的 Active Directory,这些 VM 设置为域控制器并提供传统(非 Azure)AD 凭据。