【发布时间】:2018-06-20 00:00:18
【问题描述】:
我一直在努力寻找最好的方法来管理访问权限,并允许我们的技术人员访问我们的客户订阅和 Azure 资源,而没有明确授予他们作为贡献者或每个订阅的喜欢的权限。
现在我遇到了特权身份管理功能 (https://docs.microsoft.com/en-us/azure/active-directory/active-directory-privileged-identity-management-configure?toc=%2fazure%2factive-directory%2fprivileged-identity-management%2ftoc.json),它似乎完全符合我的要求。例如,即时管理访问。
现在介绍如何设置 CSP 对客户订阅和 Azure 租户的访问权限,通过客户订阅的 AdminAgent/TenantAdmin 组提供访问权限。我只能从我们的租户中隐含地看到它们,或者当我没有明确地在客户的租户中时。换句话说,它们永远不会出现在我们自己的 Azure 门户中的任何查找或下拉列表中,我总是必须明确说明我想要访问的租户 (portal.azure.com/tenant.onmicrosoft.com [我对这个 BTW 真的很好])。
谁能告诉我他们是怎么做到的?我的意思是一定有某种方式可以做到这一点?
这两篇文章对于理解 CSP 模型的工作原理非常有帮助。第二个特别有趣,因为它提供了一种实现我想要的方法,但我更喜欢一种不将我的用户添加到客户的 Azure AD 的方法。类似于 AdminAgent/TenantAdmin 组提供的委托管理员访问权限。
但我觉得这方面的信息太少了,究竟应该去哪里寻求帮助?我发现作为 CSP 并寻求技术帮助不是很舒服。
【问题讨论】:
标签: azure azure-active-directory