Comment autoriser correctement le compte d'utilisateur Azure afin qu'il puisse créer un service principal?

Question

Notre produit est un produit de surveillance SaaS pour Azure (CloudMonix). L'une des façons de se connecter aux abonnements Azure des clients via l'API ARM consiste à créer un service principal autorisé par rapport à notre application AD.

Nous avons utilisé cet article pour permettre à cette autorisation et tous les travaux wonderfuly: https://azure.microsoft.com/en-us/documentation/articles/resource-manager-api-authentication/

La question est souvent nos utilisateurs n'ont pas accès au compte super-administrateur qui a été initialement utilisé pour créer l'abonnement. Ils ont leurs propres comptes "co-administrateurs". Quelles autorisations supplémentaires ces utilisateurs doivent-ils avoir afin de permettre à notre application AD d'accéder à leur AD? Où ajoutent-ils ces autorisations dans l'un des deux portails Azure?

TIA

Answer 1

Afin de consentir à des applications qui requièrent des autorisations d'administrateur à l'utilisateur doit avoir le rôle « Admin mondial (GA) » dans le locataire Azure AD. Cela est différent d'avoir les rôles d'administrateur de service ou de co-administrateur dans un abonnement Azure.

Seuls les AG existants peuvent accorder des droits GA à un autre utilisateur. Cela signifie que si votre utilisateur ne parvient pas à obtenir le consentement de l'administrateur, il ne pourra pas non plus créer lui-même des GA Azure AD. La solution la plus probable à votre scénario consiste à demander à l'utilisateur de contacter son service informatique ou celui qui a configuré le locataire Azure AD ou O365 et de lui demander de consentir à l'application avec ses informations d'identification GA. Une fois que l'administrateur aura consenti à l'application, parce qu'il le fait en tant qu'administrateur, le consentement sera appliqué au nom de tous les utilisateurs, et par conséquent aucun autre utilisateur n'aura besoin de consentir à l'application après cela.

Voir l'article ci-dessous pour plus de détails autour de la relation entre Azure AD et les abonnements Azure: https://blogs.technet.microsoft.com/ad/2016/02/26/azure-ad-mailbag-azure-subscriptions-and-azure-ad-2/

Et juste au cas où vous voulez encore des instructions sur la façon de faire de quelqu'un un admin global dans Azure AD, voici les instructions pour que: - de https://azure.microsoft.com/en-us/documentation/articles/active-directory-assign-admin-roles/

1. Dans le portail classique Azure, cliquez sur active Directory, puis cliquez sur le nom du répertoire de votre organisation.
2. Sur la page Utilisateurs, cliquez sur le nom d'affichage de l'utilisateur que vous souhaitez modifier.
3. Dans la liste Rôle organisationnel, sélectionnez le rôle d'administrateur que vous souhaitez affecter à cet utilisateur ou sélectionnez Utilisateur si vous souhaitez supprimer un rôle d'administrateur existant.
4. Dans la zone Autre adresse e-mail, entrez une adresse e-mail. Cette adresse e-mail est utilisée pour les notifications importantes, y compris la réinitialisation automatique du mot de passe. L'utilisateur doit donc pouvoir accéder au compte e-mail, que l'utilisateur puisse ou non accéder à Azure.
5. Sélectionnez Autoriser ou Bloquer pour spécifier si l'utilisateur doit se connecter et accéder aux services.
6. Spécifiez un emplacement dans la liste déroulante Emplacement d'utilisation.
7. Lorsque vous avez terminé, cliquez sur Enregistrer