介绍
可以将tenant理解为一个Azure AD的实例。
Organization = Tenant = Directory
默认Azure AD:XXX.onmicrosoft.com,可创建自定义cname。
Azure AD功能
- IAM platform: Azure云资源的IAM管理
- Identity security: 支持MFA及Privileged Identity Management (PIM)
- Collaboration and Development: Azure AD B2B及Azure AD B2C
- Monitoring: 审计日志,安全监测,identity保护,风险管理
- Identity Integration: SSO(通过Azure AD Connect及Azure AD Domain Services)
- Enterprise Access: 支持云端和企业内部应用及设备的安全性
Azure AD和传统AD的比较
- Organizational units (OUs) => Administrative units
- Group Policy Objects (GPOs) => SAML, WS-Federation, OAuth
- Kerberos, LDAP, NTLM => SSO?
- Hierarchical => Flat directory structure
- On-Premises => Cloud based solution
- ? => Global
用户类型
- Administrators
- Members: Azure AD的原生用户
- Guests: 受邀加入Azure AD的外部用户
创建用户的方式
- Azure Portal
- Azure CLI: az ad user create
- PowerShell: New-AzureADUser
批量操作
- 通过CSV文件批量创建用户
- 批量邀请用户
Administrative Unit
在默认方式下,可以创建Tenant level的role,但这就会让这个role的权限过于广泛,比如,在AAD内所有的用户都会受到它的影响。
Administrative Unit就是用来解决这个问题的。在AAD中,所有的用户是flat,而非层级结构,而AU就相当于一个逻辑上的分组,使得对这些资源的管理更加方便。
