我们是一家非常小的公司,出于未知原因,我们的内部应用程序基础结构(基于PaaS VM)是在Azure订阅上设置的,用于内部电子邮件地址的“个人” Windows Live帐户,并且只有一个用户在公元。 (我们还使用了“正确的” Azure实例,AD是从旧的内部部署基础结构的剩余部分同步的,而我们的Office 365就是基于它。)
我们将招募第二位开发人员,我想给他一些访问我们的应用程序基础结构的权限,但不授予共享现有单个帐户将提供的全局管理员权限。我已经试验性地将另一个用户作为全局管理员添加到Azure AD(因此它应该有权访问所有内容),但是当我与该用户登录时,它将带我进入默认免费个人Azure实例的门户,如果什么也没有设定。如果我在帐户中粘贴资源的URL,则它是全局管理员,我得到“您没有访问权限”(403)。 (Azure AD中用户的审计跟踪显示该用户已登录。)
此类型的帐户是否存在固有限制(在这种情况下,我将不得不硬着头皮迁移其所属的基础架构),或者我应该能够期望该用户能够访问正确的门户-如果是这样,我需要怎么做才能做到这一点?
答案 0 :(得分:0)
在Azure AD中具有Global Admin角色并不能使您访问Azure资源,而只能在Azure AD中管理用户等。
您需要添加例如通过访问控制(IAM)选项卡订阅用户的所有者/贡献者角色。