Umstellung des Azure Managements auf AD-Konten-Teil 1
Das Microsoft Azure Team versendet zur Zeit Newsletter, wo Azure-Kunden darüber informiert werden, dass in Kürze Azure-Subscription-Administratoren Mitglied des Azure-Active Directories sein müssen.
Was bedeutet das?
Als Nutzer eines Azure Abonnements (subscription) kann man sich auf zwei Arten am Azure-Portal (oder an einer Azure-API) anmelden: a) mit einem Microsoft-Konto oder b) mit einem Organisations-Konto.
Ein neues Microsoft-Konto kann jederzeit online unter https://signup.live.com angelegt werden. Ein Organisations-Konto heißt, dass das Konto im Azure Active Directory (AAD) vorhanden sein muss, etwa in einem Office 365-Tenant. Dieser kann ebenfalls online als Testabo für 30 Tage neu angelegt werden.
Während es bis vor gar nicht allzu langer Zeit erforderlich war ein Microsoft Konto zu benutzen kann die Administration nun auch mit einem Unternehmens-Konto erfolgen – das heißt, mit einem Login aus einem Azure Active Directory. Lokale AD-User können mit Tools wie DirSync oder ADFS in die Cloud synchronisiert werden – so benutze auch ich mein Organisationskonto in der Cloud.
Die Idee: Single Sign On und eine stark vereinfachte Verwaltung: Mit einem Organisationskonto können mehrere Subscriptions einfacher verwaltet werden als mit (unterschiedlichen) Microsoft-Konten.
Diese Umstellung macht aus meiner Sicht (neben den neuen angekündigten Features) also wirklich Sinn... in Zukunft. Dazu später mehr.
Der Newsletter
…sieht so aus:
Der relevante Teil dabei ist jene Information:
“Azure will soon require administrators to be registered in Azure Active Directory to be able to sign into the Azure Management Portal or use the Azure management API. Microsoft Accounts being used as subscription administrators will be added as Guest accounts in the directory if they aren’t already registered in the directory.”
Jetzt mal langsam
Etwas mehr Informationen erhält man im TechNet in Prepping for new management features.
Das Azure-Team wird einige neue Funktionen einbauen, welche die Authentifizierung mit einem AD-Konto erforderlich machen. Somit werden Azure-Subscriptions auf AD-Authentifizierung umgebaut:
“Your Microsoft Azure subscriptions uses Azure Active Directory to sign users in to the management portal and to secure access to the Azure management API. In preparation for upcoming management capabilities, Microsoft is ensuring that all Azure subscription administrators are members of the directory that secures access for that subscription. Microsoft accounts being used as subscription administrators will be added as Guest accounts in the directory if they are not already registered in the directory.“
In Azure-Abos, die von einem Microsoft-Konto administriert werden, wird das Microsoft-Konto in das Azure-Subscription-AD als Gast hinzugefügt.
OK. soweit so gut.
Wann passiert die Microsoft-AD-Guest-Umstellung?
Schon bald: am 31. August – also diese Woche.
“Azure will soon require administrators to be registered in Azure Active Directory to be able to sign in to the Azure portal or use the Azure management API. The Guest accounts will be added by August 31st 2014. “
Muss ich etwas tun?
Die gute Nachricht ist: Nein.
Alle Microsoft-Admin-Konten werden automatisch mit Ende August in das AD der subscription hinzugefügt.
“These users do not need to take any action. For more information on Guest accounts including how to search in the directory for them, please see: Prepping for new management features”
Was bedeutet das Hinzufügen als AD-Guest?
Die so ins AD hinzugefügten Microsoft-Konten erhalten im Feld “department” den Hinweis “Created as guest by Microsoft Azure”. Um alle importierten User auszulesen, kann – nach Anmeldung am AD mit einem Administrator via Connect-MsolService
- das PowerShell Office365-Commandlet Get-MsolUser -All -Department "Created as guest by Microsoft Azure"
verwendet werden.
Mit diesen Konten können (eingeschränkt) Informationen aus dem eigenen AD gelesen werden. Die Einschränkung des Guests bedeuten, dass nur bestimmte Objekte wie andere User oder Gruppen und nur bestimmte Felder gelesen werden können (limited access).
Um in AD einen Guest zu einem nicht eingeschränkten Mitglied zu machen, kann dieses Office365 Commandlet verwendet werden: Set-MsolUser -UserPrincipalName user@company.com -UserType Member
Kann ich weiterhin mit meinem Microsoft-Konto administrieren?
Ja. Der einzige Unterschied ist, dass das verwendete Microsoft-Konto nun auch Mitglied des Azure-eigenen ADs ist – was aber keinen Einfluss auf die Verwaltung von Azure-Subscriptions hat.
Um es klar zu machen: Die Azure-Verwaltung mit einem Microsoft-Konto funktioniert dann genauso wie zuvor.
Kann ich meine Azure-subscription auf AD-Konten umstellen?
So wird sich mancher (wie auch ich) jetzt denken: Ok, wenn Microsoft umstellt, dann brauche ich mein Mircosoft-Konto ja eigentlich nicht mehr, und stelle die Administration auf mein (zB. gesynchtes) Organisations-Konto um.
Um es vorweg zu nehmen: Eine gute Idee. Aber das geht jetzt noch nicht… (siehe auch Teil 2).
Erstens…
wird das Microsoft-Konto weiter gebraucht. Bei meinen Versuchen und Recherche habe ich festgestellt, dass (derzeit) ein Microsoft-Konto erforderlich ist, siehe https://support.microsoft.com/kb/2969548 vom 29. Mai 2014:
“When you try to add a co-administrator for your Microsoft Azure subscription, you receive the following message: The co-administrator must be either a Microsoft Account or a user account homed in the Default directory.
Cause: Your Azure subscription has a default directory associated with it, and only users who have Microsoft accounts in this default directory can be co-admins.”
Also klappt das jetzt nicht ohne Microsoft-Konto.
Zweitens…
…funktioniert der Wechsel (jetzt noch) nicht. Microsoft wird dies wohl erst in naher Zukunft einbauen.
In Teil 2 sehen wir uns an, wie man ein Organisations-Konto verwenden kann und wie der aktuelle Status davon aussieht.