AzureサブスクリプションとAzureテナントの違いを区別するのに苦労していますか?私は例を使用してそれを理解しようとしましたが、ある意味で同じものであるという結論に達するたびに?テナントが、Microsoftクラウドサービスにサインアップするときに組織が受信して所有するAzure ADサービスの専用インスタンスである場合、サブスクリプションもそうではありませんか?
Azureテナントはディレクトリです。サブスクリプションは、リソースを配置できる「フォルダー」を表すオブジェクトです。サブスクリプションはテナントに関連付けられています。したがって、1つのテナントは多くのサブスクリプションを持つことができますが、その逆はできません。
リンク:
https://docs.Microsoft.com/en-us/Azure/azure-subscription-service-limits
それはシナリオを取るのに役立ちます:
Portal.Azure.comに初めてログインし、無料の階層アカウントを作成したとしましょう。
Azureにログインすると、アカウントに関連付けられた単一のテナントIDがあり、Microsoftにアカウントの削除を要求しない限り変更されません(これはAzureドメインユーザーではなく、Microsoftサブスクリプションアカウントです(例:bob @ gmail)。 com)。
他のサブスクリプションを購入または管理していない限り(「請求所有権の転送」機能を使用して)、サブスクリプションは1つしかありません。その後、それらはすべてサブスクリプションの下にリストされます。
テナントIDに関連付けられているすべての「リソース」への完全なアクセス権があります。これらのリソースは、独自のAzure「ディレクトリ」の一部にすることも、誰かがアクセスを許可した別のドメインからのものにすることもできます。
最大20のディレクトリを作成でき、最大500のディレクトリに所属できます。
サブスクリプション(無料アカウントなど)を所有している場合は、サブスクリプションの「ルート」までの完全な権限があります。右上隅の名前をクリックして「...>権限」を選択すると、次のように表示されます。アカウント「[email protected]」には、役割「ユーザーアクセス管理者」(タイプBuiltInRole)が割り当てられています。スコープ/にアクセスできます。
リソースには、サブスクリプションの所有者であるユーザーがAzure Active Directory(または他の信頼できるディレクトリ)の他のユーザーに割り当てることができるロールベースのアクセス制御があります。
デフォルトでは、新しいサブスクリプションの場合、アカウント管理者には「サービス管理者」権限が割り当てられています。これはRBACロールの「上」にあります-サブスクリプションごとに1人のサービス管理者しか存在できません。 RBAC用語では、これは「所有者」です。
その他のポイント:
1つのテナントは複数のADディレクトリを持つことができますが、1つのディレクトリは1つのテナントしか持つことができません。
*単一のテナントのみを維持し、その単一のテナントからすべてのADドメインを管理することをお勧めします。そうしないと、ドメイン間のユーザーエクスペリエンスがシームレスになりません。
*テナントはADリソースに直接関連付けられています-右上隅にあるユーザー名の上にマウスを置くと、接続しているADドメインと長い英数字の文字列が表示されます-これはAD>プロパティの文字列と同じです。
*別のディレクトリに切り替えた場合(ある場合)、サブスクリプション名([email protected])は変更されませんが、テナントIDは異なります。
参照:
https://docs.Microsoft.com/en-us/Azure/role-based-access-control/rbac-and-directory-admin-roles
https://marckean.com/2016/06/01/Azure-vs-Azure-ad-accounts-tenants-subscriptions/