我对 Azure 中的租户概念及其与 B2B 和 B2C 租户的关系有疑问。 根据定义“Azure AD 将用户和应用程序组织到称为租户的组中”。 这里的App代表资源组中的VM、Storage Disk等吗?
其次,它提到订阅一次只能与单个 AD 租户关联。 如果是这样,B2B 和 B2C 用户如何在 B2B 和 B2C 作为单独租户管理的订阅下使用资源?
要求您澄清这个概念。
问候, Vinoth K 巴鲁
【问题讨论】:
Azure 订阅属于 Azure 租户(或组织)。 (起初这种关系对我来说并不直观,因为您注册了 Azure 订阅,并且“拥有”Azure 租户会在后台自动为您创建。)
您在注册过程中创建的管理员凭据代表一个 Azure AD 用户(在您的新租户中),并且 - 作为 Azure 租户的全局管理员 - 该用户可以在订阅中创建资源。
Azure AD 有付费版本,但大多数人都是从免费层开始的,因此订阅中的资源(例如 VM)是您为之付费的,而订阅则是您为其付费的方式。如果同一家公司有两个项目并且想要分别跟踪 Azure 成本的计费,它可以创建第二个订阅(在原始租户下)并在适当的订阅中创建资源以保持所需的计费。 (计费问题是我能想到的唯一原因,您会在同一个租户中创建多个订阅。)
Azure AD 用户可以登录到 Azure 门户并创建/管理资源,但通常,如果您创建 Windows VM - 您将使用本地管理员帐户使用资源(通过 RDP 登录) (就像物理服务器一样),而不是您的 Azure AD 用户凭据。
Azure AD 不是(本地)Active Directory 的云版本。由于名称,我认为这是一个常见的误解。
Microsoft 365(以前称为 Office 365)用户实际上是 Azure AD 用户。 Microsoft 将这些“工作/学校”帐户称为区分这些帐户和(消费者)“Microsoft 帐户”。 (这些东西的命名增加了讨论它们的复杂性。)使用 Windows 10,可以将计算机加入 Azure AD 域并使用“工作/学校”(实际上是 Azure AD)用户登录到计算机,但是这与使用(本地)Active Directory 帐户登录不同。
因此(至少目前如此),大多数时候您会使用 Azure AD 用户凭据登录 Azure 门户并管理资源,但通常会使用传统凭据登录 VM。
此处使用的“应用程序”是指使用 Azure AD 进行身份验证的应用程序(通常是 Web 应用程序)(类似于您可以使用 Okta 或 Google 或 Facebook 作为身份提供者的方式)。
B2C 租户实际上只在这种情况下使用。如果您的主要 Azure AD 租户是您公司用户的目录,并且您已经开发了一个 Web 应用程序 - 您可以创建一个单独的 B2C 租户来保存该应用程序的用户。 B2C 租户没有订阅或任何资源(如虚拟机)——只有用于验证应用程序的用户、组等。
我不知道他们是 B2B“租户”。 B2B 功能允许您向另一个 Azure 租户/组织中的用户提供来宾访问权限,该组织已授予您对租户的访问权限。有点类似于设置传统的 AD 域信任。
话虽如此,如果您设置了一个 VM 并希望为最终用户提供 RDP 或 SSH 访问权限 - 您可以在 VM 中进行设置,而不必担心创建 Azure AD 用户。您还可以在 Azure 中运行的 Windows VM 上运行传统的 Active Directory,这些 VM 设置为域控制器并提供传统(非 Azure)AD 凭据。
【讨论】: