什么是 Azure AD 目录?
更新时间:2015 年 7 月 6 日
适用于:Azure、Office 365、Windows Intune
注意
本主题为依赖于 Microsoft Azure Active Directory 提供标识和目录服务的云服务(如 Microsoft Intune 和 Office 365)提供联机帮助内容。
本主题介绍了与管理 Azure AD 目录相关的重要概念和任务,包括以下各节:
什么是 Azure AD 租户?
如何获取 Azure AD 目录
将 Azure AD 目录与新的 Azure 订阅相关联
通过以组织名义注册服务来创建 Azure AD 目录
管理 Azure 设置的默认目录
添加和管理多个 Azure AD 目录
删除 Azure AD 目录
- 删除 Azure AD 目录时必须符合的条件
什么是 Azure AD 租户?
在物理工作区中,可以将“租户”一词定义为占用某个大厦的组或公司。 例如,组织可能在某个大厦中拥有办公空间。 此大厦可能与其他几个组织在一条大街上。 组织会被视为该大厦的租户。 这栋大楼是组织的资产,提供安全保障,确保你们可以安全地开展业务。 此外,它与你们街道上的其他企业是分隔开的。 这可确保组织以及其中的资产与其他组织隔离。
在启用云的工作区中,可以将“租户”定义为拥有并管理该云服务的特定实例的客户端或组织。 租户使用 Microsoft Azure 提供的标识平台,它只是组织在注册 Azure 或 Office 365 等 Microsoft 云服务时接收并拥有的 Azure Active Directory (Azure AD) 专用实例。
每个 Azure AD 目录都是独特的,独立于其他 Azure AD 目录。 就像公司办公大楼是组织特有的安全资产一样,根据设计,Azure AD 目录也是仅供组织使用的安全资产。 Azure AD 体系结构隔离了客户数据和身份信息,避免混合存放。 这意味着,一个 Azure AD 目录的用户和管理员不可能意外或恶意性地访问另一目录中的数据。
如何获取 Azure AD 目录
当你注册 Microsoft 云服务时,便会获得一个 Azure AD 目录。 可根据需要创建更多的目录。 例如,可以将第一个目录保留为生产目录,并创建另一个目录进行测试或过渡。
注意
在注册第一个服务后,我们建议在注册其他 Microsoft 云服务时使用与组织关联的同一个管理员帐户。 有关用户 ID 的详细信息,请参阅我的用户 ID 是什么,为什么需要它?
首次注册 Microsoft 云服务(如 Azure、Microsoft Office 365或Microsoft Intune)时,系统会提示你提供有关组织和组织的 Internet 域名注册的详细信息。 然后,这些信息将用来为组织创建一个新的 Azure AD 目录实例。 订阅多个 Microsoft 云服务时,将使用这同一个目录对登录尝试进行身份验证。
其他服务完全利用你配置的任何现有用户帐户、策略、设置或本地目录集成,以帮助提高组织本地标识基础结构与 Azure AD 之间的效率。
例如,如果最初注册了 Windows Intune 订阅并完成了通过部署目录同步和/或单一登录服务器将本地 Active Directory 与 Azure AD 目录进一步集成所需的步骤,则可以注册其他 Microsoft 云服务(例如 Office 365),该服务也可以利用目前用于 Windows Intune 的目录集成优势。
有关将本地目录与 Azure AD 集成的详细信息,请参阅 目录集成。
将 Azure AD 目录与新的 Azure 订阅相关联
可以将新的 Azure 订阅,与用于对现有 Office 365 或 Microsoft Intune 订阅的登录进行身份验证的相同目录进行关联。 使用工作或学校帐户登录到 Azure 管理门户 。 Azure 管理门户将返回一条消息,指出找不到该帐户的任何订阅。 选择“ 注册 Azure”,目录将可用于在 Azure 管理门户中进行管理。 有关详细信息,请参阅在 Azure 中管理 Office 365 订阅的目录。
有关 Azure AD 的常见使用问题的视频,请参阅 Azure Active Directory 的常见注册、登录和使用问题。
通过以组织名义注册服务来创建 Azure AD 目录
如果尚未订阅 Microsoft 云服务,请使用以下链接之一注册。 注册第一个服务后,会自动创建 Azure AD 目录。
管理 Azure 设置的默认目录
现今,注册 Azure 时会自动创建一个目录,并且订阅与该目录相关联。 但是,如果最初是在 2013 年 10 月之前注册 Azure 的,则不会自动创建一个目录。 在那种情况下,Azure 可能已为帐户进行了“回填”,即为其设置了默认目录。 然后订阅与该默认目录相关联。
在 2013 年 10 月进行了目录回填,作为对 Azure 安全模型总体增强的一部分。 它有助于向所有 Azure 客户提供组织标识功能,确保了在目录中的用户上下文的目录中可访问所有 Azure 资源。 没有目录就无法使用 Azure。 因此,在 2013 年 7 月 7 日之前注册但没有目录的任何用户都必须创建一个目录。 如果已创建了一个目录,则订阅已与该目录相关联。
使用 Azure AD 不收取费用。 目录是免费资源。 还有一个附加的Azure Active Directory Premium层单独获得许可,并提供其他功能,例如公司品牌和自助密码重置。
若要更改你的目录的显示名称,请在管理门户中单击该目录并单击“配置”。 如本主题后面所述,用户可以添加新目录或删除不再需要的目录。 若要将订阅与其他目录相关联,请单击“设置>Subscriptions>编辑目录”。 还可以使用已注册的 DNS 名称而非默认的 *.onmicrosoft.com 域来创建自定义域,对于 SharePoint Online 之类的服务这样做可能更好。
有关如何管理目录的详细信息, 请管理 Azure AD 目录。
添加和管理多个 Azure AD 目录
可以在 Azure 管理门户中添加 Azure AD 目录。 在左侧选择 Active Directory 扩展,然后单击“添加”。
可将每个目录作为完全独立的资源进行管理:每个目录都是一个具有完整功能的对等方,在逻辑上独立于所管理的其他目录;目录之间不存在父子关系。 目录之间的这种独立性包括资源独立性、管理独立性和同步独立性。
资源独立性。 在一个目录中创建或删除一个资源不影响另一个目录中的任何资源,但对于外部用户来说,情况并不完全如此,具体如下所述。 如果将自定义域“contoso.com”用于一个目录,则不能将它用于任何其他目录。
管理独立性。 如果目录“Contoso”的某个非管理用户创建了测试目录“Test”,那么:
默认情况下,会在该新目录中将创建目录的用户添加为外部用户,并在该目录中为其分配全局管理员角色。
目录“Contoso”的管理员对目录“Test”没有直接管理特权,除非“Test”的管理员专门向其授予了这些特权。 “Contoso”的管理员可以控制对目录“Test”的访问,因为他们可以控制创建“Test”的用户帐户。
另外,如果更改(添加或删除)某个用户在一个目录中的管理员角色,这项更改不会影响该用户在另一个目录中可能具有的任何管理员角色。
同步独立性。 可以独立配置每个 Azure AD,以便通过下列任一工具的单个实例同步数据:
目录同步工具,用于将数据与单个 AD 林同步。
适用于 Forefront Identity Manager 的 Azure Active Directory 连接器,用于将数据与一个或多个本地林和/或非 AD 数据源同步。
另请注意,与其他 Azure 资源不同,目录不是 Azure 订阅的子资源。 因此,如果取消 Azure 订阅或让其过期,则仍可以使用 Azure PowerShell、Azure Graph API 或其他界面(例如 Office 365 管理中心)访问目录数据。 还可以将其他订阅与目录相关联。
删除 Azure AD 目录
全局管理员可以从 Azure 管理门户删除 Azure AD 目录。 删除某个目录时,该目录中包含的所有资源也会被删除;因此,在删除之前,应确认不需要该目录。
注意
如果用户是使用工作或学校帐户登录的,则该用户不得尝试删除其主目录。 例如,如果用户是作为 joe@contoso.onmicrosoft.com 登录的,则该用户不能删除默认域为 contoso.onmicrosoft.com 的目录。
删除 Azure AD 目录时必须符合的条件
Azure AD 要求删除目录之前必须符合特定的条件。 这可以降低删除目录后对用户或应用程序造成负面影响(例如,影响用户登录 Office 365 或访问 Azure 中的资源)的风险。 例如,如果用于订阅的某个目录被无意删除,则用户无法访问该订阅的 Azure 资源。
需检查以下情况:
该目录中的唯一用户是将要删除该目录的全局管理员。 只有在删除所有其他用户后,才能删除该目录。 如果用户是从本地同步的,则需要关闭同步,并且必须使用管理门户或用于 Windows PowerShell 的 Azure 模块从云目录中删除这些用户。 不要求删除组或联系人,例如,从 Office 365 管理中心添加的联系人。
该目录中不能有任何应用程序。 只有在删除所有应用程序后,才能删除该目录。
与该目录相关联的任何 Microsoft Online Services(例如 Microsoft Azure、Office 365 或 Azure AD Premium)不存在任何订阅。 例如,如果在 Azure 中创建了一个默认目录,并且 Azure 订阅仍然依赖于此目录进行身份验证,则你不能删除此目录。 类似地,如果其他用户已将订阅与某个目录相关联,则你无法删除该目录。 若要将你的订阅与其他目录相关联,请登录到 Azure 管理门户,然后单击左侧导航区域中的“设置”。 然后再单击“订阅”和“编辑目录”。 有关 Azure 订阅的详细信息,请参阅 Azure 订阅与 Azure AD 的关联方式。
注意
如果你的订阅被取消,而你想要删除一个目录,则请使用其他订阅登录,然后将该目录的全局管理员添加为订阅的协同管理员。 然后注销并使用订阅的协同管理员帐户重新登录。 然后你应该就能删除该目录,前提是满足所有其他条件。
不能有任何多重身份验证提供程序链接到该目录。