Como criar um novo administrador global com permissões para criar contas de automação RunAs?

1

Como meu colega pode adicionar minha conta da Microsoft existente (que já é proprietária e Coadmin de sua assinatura) como um Membro completo (e não um usuário convidado) e um administrador global de seu diretório do Azure para criar Automação contas em sua assinatura?

Estou gerenciando os recursos do Azure do colega. Eu fui convidado para a conta dele como um papel de coadministrador e proprietário e, de fato, sob o Controle de acesso (IAM) da assinatura, vejo meu Tipo como Proprietário e Função como Proprietário, Co-administrador.

Mas quando tento criar uma conta de automação para iniciar / interromper as VMs na assinatura de meu colega, vejo o aviso:

You do not have permissions to create a Run As account in Azure Active Directory. Please follow the directions in the documentation to learn how to create a Run As account. Click here to learn more about Run As accounts.

O artigo diz o seguinte:

If you aren't a member of the subscription’s Active Directory instance before you are added to the subscription's global administrator/coadministrator role, you are added to Active Directory as a guest. In this scenario, you see this message on the Add Automation Account page: “You do not have permissions to create." If a user is added to the global administrator/coadministrator role first, you can remove them from the subscription's Active Directory instance, and then re-add them to the full User role in Active Directory.

De fato, no Active Directory do meu colega, sou exibido como Tipo de usuário: Convidado. Então, nós tentamos fazer como descrito - removido a conta de usuário do Active Directory e tentou adicionar um novo usuário, mas infelizmente meu nome de conta existente da Microsoft (o mesmo com o qual eu estou registrado como um proprietário e Coadmin da assinatura do colega) não é aceito - diz que "gmail.com não é um domínio verificado neste diretório".

Então, tentamos o outro botão - Novo usuário convidado. Depois disso, em Função de Diretório, fui designado à função "Administrador Global". O Azure aceitou o meu email, mas não conseguiu associar a minha conta da Microsoft existente e, em vez disso, recebi um novo convite e obtive uma nova conta do Work para o mesmo endereço de email. E quando eu entro com isso, não vejo nenhuma assinatura, embora possa acessar os recursos do colega. E minha antiga conta da Microsoft não tem nenhum acesso ao Active Directory do colega (esperado - porque foi removido de lá e uma nova conta do Work com o mesmo email foi criada).

    
por JustAMartin 09.03.2018 / 13:12

1 resposta

1

Depois de várias tentativas e erros, descobri que o culpado é este: link

Parece que agora não podemos adicionar contas da Microsoft ao Azure Directory como membros completos (somente como convidados) e temos de adicioná-las com o domínio @targetazuredomain.onmicrosoft.com , redefinir a senha do usuário no Azure e enviar a senha temporária para o usuário e agora o usuário deve efetuar login no Portal do Azure com este novo nome de domínio [email protected] . A caixa de diálogo de alteração de senha será exibida, o usuário terá que alterar a senha e, finalmente, terá acesso aos recursos e poderá criar novas contas de automação com contas RunAs.

Para conceder permissões de Proprietário à assinatura deste usuário, o administrador deve adicionar o usuário com a [email protected] mais uma vez à lista de Controle de acesso (IAM) com função de Proprietário. Assim, você pode acabar com duas contas na lista do IAM - uma para a conta da Microsoft e outra para a conta do AD local; mas aquele com conta da Microsoft não é mais útil porque não tem acesso ao domínio do Azure da assinatura.

Essencialmente, isso significa que o SSO de conta da Microsoft para o Azure está inativo - você não pode fazer logon em várias assinaturas do Azure e esperar ter permissões totais nesse local. Você precisa mudar para a conta "domínio genuíno" para todas as assinaturas que não são de sua propriedade.

    
por 09.03.2018 / 14:32