Umstellung des Azure Managements auf AD-Konten-Teil 2
In Teil 1 habe ich über die Umstellung des Azure-Subscription Verwaltungskontos in das eigene Azure-AD geschrieben. Admins müssen jedoch keinerlei Aktionen durchführen und das Azure-Abo kann weiterhin mit einem Microsoft Konto verwaltet werden.
Eine Umstellung der Azure-Verwaltung auf Organisationskonten (Active-Directory Konten) macht Sinn – und ist jener Weg, den Microsoft geht. Somit möchte ich hier beschreiben, wie ein (eigenes) AD-Konto zu einer Azure-Subscription hinzugefügt werden kann.
Ein AD-Konto hinzufügen
Es ist wahrscheinlich für viele Leser interessant zu sehen, wie man ein Organisationskonto in eine Azure-Subscription bringt. Hier nun die Schritt-für-Schritt Anleitung, wie das funktioniert.
Auf den Azure-Websites gibt es unter Changing Service Administrator and Co-Administrator when logged-in with an organizational account und Manage Accounts, Subscriptions, and Administrative Roles einen Überblick über die Verwaltungsmöglichkeiten in Microsoft Azure – sprich, welcher Kontotyp Verwaltungen in Azure durchführen darf.
Verwaltungs-Limits von Azure
Apropos Verwaltung: Für große Unternehmen ist es interessant die Limits für die Azure-Verwaltung zu kennen. Diese sind hier nachzulesen: Azure Subscription and Service Limits, Quotas, and Constraints: Subscription:
So können bis zu maximal 200 Co-Admins pro Subscription hinterlegt werden – das sollte reichen. Es kann aber nur einen Service-Administrator geben… dieser wird im Account der Subscription (wie auch der Subscription-Name) festgelegt (s.u.).
Sonst sind die Werte aber sehr großzügig, etwa 256 Affinity groups pro Subscription usw.
Ev. etwas aufpassen muss man eventuell mit maximal 100 management certificates, siehe Manage Certificates: “There is a limit of 100 management certificates per Windows Azure subscription. There is also a limit of 100 management certificates for all subscriptions under a specific service administrator’s user ID.“
Wir verwenden die management certificates recht häufig, da kommt mit (demselben) Service Administrator schon einiges zusammen… als Workaround kann aber auch ein anderer Co-Admin neue management certificates einspielen. Wer sich darüber weiter informieren möchte, siehe meinen Blogpost in codefest.at hier. Nun gut, nach diesem kleinen Exkurs weiter im Kontext…
Details einer Azure Subscription
Subscription Details können in https://account.windowsazure.com/Subscriptions mit den Aktionen (mit den Links auf der rechten Seite) festgelegt werden, etwa der Name und der Service Administrator.
Das Ändern des Subscription-Namens empfehle ich immer gleich nach Einrichten der Subscription durchzuführen, sprechende Namen sind besser als “MSDN Subscription Visual Studio Premium”. Ich verwende gerne T(est) und P(rodutkiv) mit einer laufenden Nummer oder Projektbeschreibung…, hier zB. T5-MSDN o.ä.
Die Rollen
In Azure gibt es diese eingebauten Rollen für die Verwaltung:
- Jede Subscription “gehört” einem Account Administrator – er “kauft” die Subscription und ist “Gobal Admin” – und kann alles verwalten. Der Account Administrator bestimmt dann…
- …einen Service Administrator. Dieser ist im Regelfall ein für diese Subscription technisch verantwortlicher IT-Pro oder Developer, der im Portal arbeitet. Es gibt nur einen Service-Administrator. Im Gegensatz zum Account Administrator (und Billing Administrator) kann er die Abrechnungen nicht sehen – sondern eben nur die Portal-Seite.
- In einer Subscription können dann viele Co-Administratoren angelegt werden. Ein Co-Administrator ist sehr ähnlich zum Service Administrator – es kann mehrere (eben bis zu 200) davon geben - und sie können direkt im Portal (von anderen berechtigen Usern) verwaltet werden.
Ebenso können hier Zahlungsmethode und Rechnungsadresse geändert werden und das Abo gekündigt oder ein Support-Ticket eröffnet werden.
Anmeldung mit einem Konto ohne Berechtigung in Azure
Wenn man sich etwa mit einem Organisations-Konto am Azure-Portal https://manage.windowsazure.com anmelden möchte, kommt eine entsprechende Hinweismeldung.
Diese Information kommt übrigens auch am neuen Azure-Portal (Beta) https://portal.azure.com, nur klappt dort die Anmeldung und der Hinweis kommt erst unter dem Service health status (der zugegebenermassen sehr hübsch ist…).
Beim Versuch…
…ein Organisationskonto als Co-Admin hinzuzufügen kommt (logischerweise) ein Fehler. (Mein Organisationskonto liegt in einem lokalen Active Directory und wird in die Office365 Cloud gesynct.)
“The co-administrator must be either a Microsoft Account or a user account homed in the <your-subscription> directory.”
Wie oben beschrieben muss das Organisationskonto natürlich in der Azure-Subscription bekannt sein.
Was ist das eigene AD in einer Azure subscription?
Seit (ich schätze mal) etwa einem guten Jahr wird in jeder Azure-Subscription ein eigenes AD automatisch hinzugefügt, siehe https://support.microsoft.com/kb/2969548 . Standardmäßig hat das Microsoft-Konto Admin-Zugang hier drin:
“Your Azure subscription has a default directory associated with it, and only users who have Microsoft accounts in this default directory can be co-admins.“ – Das ist relevant.
In einer beliebigen Azure-Subscription sieht das zB. so aus:
Schön. Hier drin müssen also unsere berechtigten Admins vorhanden sein.
Also können hier drin eigene AD-User für die Azure-Subscription angelegt werden.
Und wenn wir nun ein eigenes Organisations-Konto für mehrere Azure-subscriptions verwenden wollen?
Das eigene AD hinzufügen
Das geht eigentlich recht einfach. Wir müssen das eigene AD zur Azure subscription hinzufügen. Das funktioniert in Azure wie folgt – Voraussetzung ist ein gültiger Admin mit Login und Kennwort im eigenen AD.
Über Add wird ein neues Active Directory hinzugefügt. Man wählt Custom Create.
und wählt in der Dialogbox allerdings kein neues, sondern ein existierendes AD: use existing directory.
…und markiert die Checkbox, dass nun die Abmeldung erfolgen kann. Hierauf folgt dann die neue Anmeldung – am eigenen AD. Nun meldet man sich mit dem AD-Admin-Konto an und gewährt in weiterer Folge Zugriff auf das eigene AD. Das eigene Microsoft-Konto des Admin wird dabei zum eigenen AD hinzugefügt.
Danach meldet man sich wieder vom eigenen AD ab – und wieder mit dem Microsoft Konto an Azure an.
Das Ergebnis sieht dann so aus: Zusätzlich zum vordefinierten AD der Azure-Subscription wurde das eigene AD hinzugefügt und das Microsoft-Konto in das eigene AD hinzugefügt. Voila:
Wenn wir nun in das eigene AD hineinsehen, wird klar, was passiert ist: Das Microsoft-Konto aus unserer Azure-Subscription (dev11…) wurde zum eigenen AD hinzugefügt.
Klar, irgendeine “Brücke” zwischen den verschiedenen AD´s muss es ja geben.
Umgekehrt können wir das eigene AD - besser gesagt AD-Konten davon - jetzt in Azure verwenden.
Nun versuchen wir, im eigenen Azure-AD unser Organisationskonto als globaler Admin einzutragen…
Die Aktion hat funktioniert… nun kennt Azure unser Organisations-Konto: Wir wollen diesen als Globalen Admin in das Standard-AD der Azure Subscription hinzufügen:
..und da ist er schon:
Ein paar Details zum neuen Benutzer…
über die Verwaltung sind wohl noch interessant. Hier ein paar FAQs:
- Frage: Kann die Azure-Rolle eines Benutzers im Nachhinein geändert werden?
Antwort: Nein - Frage: Kann man einen Benutzer öfters als einmal hinzufügen – etwa mit anderen Rollen?
Antwort: Nein - Das bedeutet: Benutzer löschen und bei Bedarf neu (mit einer anderen Rolle) hinzufügen.
- Ein “Globaler Admin” bedeutet, der Benutzer kann alle Features dieser Azure subscription verwenden.
Verwenden…
Jetzt muss das AD-Konto eigentlich nur noch verwendet werden. Ich hätte erwartet, dass das eigene AD-Konto nun auch als Co-Admin hinzugefügt werden kann. Das ist allerdings (derzeit) nicht so.
“The co-administrator must be either a Microsoft Account or a user account homed in the <your-subscription> directory.”
Laut der Website Changing Service Administrator and Co-Administrator when logged-in with an organizational account kann ein “anderes” AD-Konto nicht als Co-Administrator oder Service Administrator verwendet werden:
“Question: Add organizational account in different organization as Co-Administrator or Service Administrator?
Answer: No”
Bin schon gespannt, ob sich das in Zukunft ändern wird. Die Schritte zum Hinzufügen und Verwenden des eigenen AD´s funktionieren wie hier beschrieben (Teil 1 und Teil 2 hier).
Viel Erfolg bei der Verwaltung und Verwendung von Azure mit AD-Konten!