Share via


Umstellung des Azure Managements auf AD-Konten-Teil 2

In Teil 1 habe ich über die Umstellung des Azure-Subscription Verwaltungskontos in das eigene Azure-AD geschrieben. Admins müssen jedoch keinerlei Aktionen durchführen und das Azure-Abo kann weiterhin mit einem Microsoft Konto verwaltet werden.

Eine Umstellung der Azure-Verwaltung auf Organisationskonten (Active-Directory Konten) macht Sinn – und ist jener Weg, den Microsoft geht. Somit möchte ich hier beschreiben, wie ein (eigenes) AD-Konto zu einer Azure-Subscription hinzugefügt werden kann.

Ein AD-Konto hinzufügen

Es ist wahrscheinlich für viele Leser interessant zu sehen, wie man ein Organisationskonto in eine Azure-Subscription bringt. Hier nun die Schritt-für-Schritt Anleitung, wie das funktioniert.

Auf den Azure-Websites gibt es unter Changing Service Administrator and Co-Administrator when logged-in with an organizational account und Manage Accounts, Subscriptions, and Administrative Roles einen Überblick über die Verwaltungsmöglichkeiten in Microsoft Azure – sprich, welcher Kontotyp Verwaltungen in Azure durchführen darf.

image

Verwaltungs-Limits von Azure

Apropos Verwaltung: Für große Unternehmen ist es interessant die Limits für die Azure-Verwaltung zu kennen. Diese sind hier nachzulesen: Azure Subscription and Service Limits, Quotas, and Constraints: Subscription:

So können bis zu maximal 200 Co-Admins pro Subscription hinterlegt werden – das sollte reichen. Es kann aber nur einen Service-Administrator geben… dieser wird im Account der Subscription (wie auch der Subscription-Name) festgelegt (s.u.).

Sonst sind die Werte aber sehr großzügig, etwa 256 Affinity groups pro Subscription usw.

Ev. etwas aufpassen muss man eventuell mit maximal 100 management certificates, siehe  Manage Certificates: “There is a limit of 100 management certificates per Windows Azure subscription. There is also a limit of 100 management certificates for all subscriptions under a specific service administrator’s user ID.“

Wir verwenden die management certificates recht häufig, da kommt mit (demselben) Service Administrator schon einiges zusammen… als Workaround kann aber auch ein anderer Co-Admin neue management certificates einspielen. Wer sich darüber weiter informieren möchte, siehe meinen Blogpost in codefest.at hier. Nun gut, nach diesem kleinen Exkurs weiter im Kontext…

Details einer Azure Subscription

Subscription Details können in https://account.windowsazure.com/Subscriptions mit den Aktionen (mit den Links auf der rechten Seite) festgelegt werden, etwa der Name und der Service Administrator.

image

Das Ändern des Subscription-Namens empfehle ich immer gleich nach Einrichten der Subscription durchzuführen, sprechende Namen sind besser als “MSDN Subscription Visual Studio Premium”. Ich verwende gerne T(est) und P(rodutkiv) mit einer laufenden Nummer oder Projektbeschreibung…, hier zB. T5-MSDN o.ä.

Die Rollen

In Azure gibt es diese eingebauten Rollen für die Verwaltung:

  • Jede Subscription “gehört” einem Account Administrator – er “kauft” die Subscription und ist “Gobal Admin” – und kann alles verwalten. Der Account Administrator bestimmt dann…
  • …einen Service Administrator. Dieser ist im Regelfall ein für diese Subscription technisch verantwortlicher IT-Pro oder Developer, der im Portal arbeitet. Es gibt nur einen Service-Administrator. Im Gegensatz zum Account Administrator (und Billing Administrator) kann er die Abrechnungen nicht sehen – sondern eben nur die Portal-Seite.
  • In einer Subscription können dann viele Co-Administratoren angelegt werden. Ein Co-Administrator ist sehr ähnlich zum Service Administrator – es kann mehrere (eben bis zu 200) davon geben - und sie können direkt im Portal (von anderen berechtigen Usern) verwaltet werden.

image

Ebenso können hier Zahlungsmethode und Rechnungsadresse geändert werden und das Abo gekündigt oder ein Support-Ticket eröffnet werden.

Anmeldung mit einem Konto ohne Berechtigung in Azure

Wenn man sich etwa mit einem Organisations-Konto am Azure-Portal https://manage.windowsazure.com anmelden möchte, kommt eine entsprechende Hinweismeldung.

image

Diese Information kommt übrigens auch am neuen Azure-Portal (Beta) https://portal.azure.com, nur klappt dort die Anmeldung und der Hinweis kommt erst unter dem Service health status (der zugegebenermassen sehr hübsch ist…).

image

Beim Versuch…

…ein Organisationskonto als Co-Admin hinzuzufügen kommt (logischerweise) ein Fehler. (Mein Organisationskonto liegt in einem lokalen Active Directory und wird in die Office365 Cloud gesynct.)

image

“The co-administrator must be either a Microsoft Account or a user account homed in the <your-subscription> directory.”

Wie oben beschrieben muss das Organisationskonto natürlich in der Azure-Subscription bekannt sein.

Was ist das eigene AD in einer Azure subscription?

Seit (ich schätze mal) etwa einem guten Jahr wird in jeder Azure-Subscription ein eigenes AD automatisch hinzugefügt, siehe https://support.microsoft.com/kb/2969548 . Standardmäßig hat das Microsoft-Konto Admin-Zugang hier drin:

“Your Azure subscription has a default directory associated with it, and only users who have Microsoft accounts in this default directory can be co-admins.“ – Das ist relevant.

In einer beliebigen Azure-Subscription sieht das zB. so aus:

Schön. Hier drin müssen also unsere berechtigten Admins vorhanden sein.
Also können hier drin eigene AD-User für die Azure-Subscription angelegt werden.

Und wenn wir nun ein eigenes Organisations-Konto für mehrere Azure-subscriptions verwenden wollen?

Das eigene AD hinzufügen

Das geht eigentlich recht einfach. Wir müssen das eigene AD zur Azure subscription hinzufügen. Das funktioniert in Azure wie folgt – Voraussetzung ist ein gültiger Admin mit Login und Kennwort im eigenen AD.

Über Add wird ein neues Active Directory hinzugefügt. Man wählt Custom Create.

image_thumb5_thumb

und wählt in der Dialogbox allerdings kein neues, sondern ein existierendes AD: use existing directory.

image

…und markiert die Checkbox, dass nun die Abmeldung erfolgen kann. Hierauf folgt dann die neue Anmeldung – am eigenen AD. Nun meldet man sich mit dem AD-Admin-Konto an und gewährt in weiterer Folge Zugriff auf das eigene AD. Das eigene Microsoft-Konto des Admin wird dabei zum eigenen AD hinzugefügt.

Danach meldet man sich wieder vom eigenen AD ab – und wieder mit dem Microsoft Konto an Azure an.

Das Ergebnis sieht dann so aus: Zusätzlich zum vordefinierten AD der Azure-Subscription wurde das eigene AD hinzugefügt und das Microsoft-Konto in das eigene AD hinzugefügt. Voila:

image

Wenn wir nun in das eigene AD hineinsehen, wird klar, was passiert ist: Das Microsoft-Konto aus unserer Azure-Subscription (dev11…) wurde zum eigenen AD hinzugefügt.

image

Klar, irgendeine “Brücke” zwischen den verschiedenen AD´s muss es ja geben.

Umgekehrt können wir das eigene AD - besser gesagt AD-Konten davon - jetzt in Azure verwenden.

Nun versuchen wir, im eigenen Azure-AD unser Organisationskonto als globaler Admin einzutragen…

image

Die Aktion hat funktioniert… nun kennt Azure unser Organisations-Konto: Wir wollen diesen als Globalen Admin in das Standard-AD der Azure Subscription hinzufügen:

image

..und da ist er schon:

image

Ein paar Details zum neuen Benutzer…

über die Verwaltung sind wohl noch interessant. Hier ein paar FAQs:

  • Frage: Kann die Azure-Rolle eines Benutzers im Nachhinein geändert werden?
    Antwort: Nein
  • Frage: Kann man einen Benutzer öfters als einmal hinzufügen – etwa mit anderen Rollen?
    Antwort: Nein
  • Das bedeutet: Benutzer löschen und bei Bedarf neu (mit einer anderen Rolle) hinzufügen.
  • Ein “Globaler Admin” bedeutet, der Benutzer kann alle Features dieser Azure subscription verwenden.

Verwenden…

Jetzt muss das AD-Konto eigentlich nur noch verwendet werden. Ich hätte erwartet, dass das eigene AD-Konto nun auch als Co-Admin hinzugefügt werden kann. Das ist allerdings (derzeit) nicht so.

image

“The co-administrator must be either a Microsoft Account or a user account homed in the <your-subscription> directory.”

Laut der Website Changing Service Administrator and Co-Administrator when logged-in with an organizational account kann ein “anderes” AD-Konto nicht als Co-Administrator oder Service Administrator verwendet werden:

“Question: Add organizational account in different organization as Co-Administrator or Service Administrator?
Answer: No”

Bin schon gespannt, ob sich das in Zukunft ändern wird. Die Schritte zum Hinzufügen und Verwenden des eigenen AD´s funktionieren wie hier beschrieben (Teil 1 und Teil 2 hier).

Viel Erfolg bei der Verwaltung und Verwendung von Azure mit AD-Konten!