我的组织已为我们的开发人员分配了MSDN Premium订阅,每个开发人员都有一个与订阅相关联的Microsoft帐户 . Microsoft帐户与组织电子邮件地址相关联,即person@organisation.com . 其中一些帐户已被用于运行虚拟机网络应用程序等 .
我们现在正在寻求安装Azure AD Connect并将我们的Active Directory与Azure同步,以期开发SSO应用程序,人们可以登录person1 @organisation.com,person2 @organisation.com等等 . 注册组织's domain with Azure AD and installing Azure AD Connect looks to be a fairly straightforward task, but what I'我不确定是:
-
一旦我们启动并运行Azure AD,现有的person@organisation.com会怎样?
-
他们是否自动与组织的Azure AD关联?
-
是否必须执行任何手动迁移步骤?或者,现有帐户是否会成为孤儿?
基本上,我试图了解一旦我们在Azure AD上轻拂开关,对现有应用程序和帐户的影响 .
谢谢!
2 回答
Microsoft帐户与您的组织的Azure AD帐户(OrgId / Work / School帐户)不同 . 这些Microsoft帐户与组织帐户无关,只是共享相同的电子邮件地址,但托管在完全不同的身份系统中 .
不,您的个人用户的工作帐户和Microsoft帐户在后端没有技术连接 .
我推荐以下作为最佳做法 -
用于提供对Azure门户的访问的工作帐户优先于Microsoft帐户,因为以下内容 -
工作帐户密码策略可由公司的IT团队设置
IT团队可以重置工作帐户的密码
Azure AD报告将包含与工作帐户相关的登录/ IP地址/等信息,对Microsoft帐户没有这样的洞察力 .
只需禁用工作帐户即可禁用对各种Azure订阅或其他应用程序的访问 . 公司无法真正控制Microsoft帐户 .
使用NTLM / Kerberos登录公司AD时,个人用户可以获得SSO的好处 .
您必须执行以下操作才能移动人员使用Azure订阅的工作帐户
将每个用户的工作帐户添加为服务admin / co-admin /任何其他级别的所有相关订阅 .
尽可能从Azure服务的所有角色/权限中删除Microsoft帐户(请参阅下一点)
移动某些角色(如帐户管理员/服务管理员)存在限制,如here所述 .
首先,当您说“我的组织已将MSDN Premium订阅分配给我们的开发人员时,每个开发人员都有 Microsoft account 链接到订阅” - 这些是'microsoft accounts' individual Accounts 或 Work/School account 作为MS调用它们吗?
如果他们是 individual Accounts 然后他们不是组织帐户,并且没有链接到您的内部AD,他们只是帐户具有相同的电子邮件地址 . 实际上我们必须经历这个 .
从Microsoft电话对话 - MSDN Azure订阅用于开发目的而非 生产环境 . 对于 生产环境 ,您需要企业协议订阅或其他组织提议 . 您将这个AZURE帐户连接到AD,而不是MSDN Azure订阅 .
之后,您可以将这些“MSDN”帐户作为共同管理员或用户添加到EA / Organizational订阅的AD中 .
最好的办法是给他们打个电话 . 但这就是我们如何做同样的事情 .