Различие между Azure AD “каталог” и Azure AD “арендатор”?
Надо надеяться, это - быстрый ответ: я запускаю некоторую работу с Azure AD и термина, который я вижу, много раз Azure AD "арендатор". Это, кажется, синонимично и использоваться наравне с Azure AD "каталог", но является этим?
Я, вероятно, просто педантичен, и я предполагаю, что это очевидно для всех остальных, но ничто, что я могу найти, не объясняет это явно. Это - самая близкая вещь, которую я нашел и даже который делает переход, за которым я не могу следовать, переключая условия от "арендатора" к "каталогу" без объяснения:
С платформой идентификационных данных, обеспеченной Microsoft Azure, арендатор является просто специализированным экземпляром Active Directory Azure (Azure AD), которую Ваша организация получает и владеет, когда она регистрируется в облачном сервисе Microsoft, таком как Azure или Office 365.
Каждый каталог Azure AD является отличным и отдельным от других каталогов Azure AD. Точно так же, как корпоративное офисное здание является безопасным активом, характерным только для Вашей организации, каталог Azure AD [...]
Кто-либо может просто подтвердить отношения между этими двумя условиями для записи?
Вы правы, чтобы использовать Azure AD, вы должны стать «арендатором» в системе. Таким образом, арендатор в основном просто защищает субдомен .onmicrosoft.com. На этом этапе у вас будет одна учетная запись, зарегистрированная в Azure AD. Оттуда вы можете активировать Office365, Intune или любую из служб Azure.
У меня недостаточно представителей, чтобы прокомментировать другой ответ, но комментарий «Вы можете назначить несколько каталогов AAD для одной подписки». неверно в документации, скорее наоборот. https://docs.microsoft.com/en-us/azure/active-directory/active-directory-how-subscriptions-associated-directory
Несколько подписок могут доверять одному и тому же каталогу, но каждая подписка доверяет только одному каталогу.
Насколько я понимаю, «арендатор» и «каталог» в основном используются взаимозаменяемо в документации Active Directory. Я думаю, что просто иногда удобнее использовать «арендатор», поскольку название службы - «Active Directory», поэтому ссылка на «каталог Active Directory», например, может ввести в заблуждение.
Вы можете найти это сообщение в блоге и связанную диаграмму полезными:
Ответ автора на ваш вопрос, кажется, зависит от того, как вы получаете свой Azure,
многие из вас будут настроены с помощью Azure на среднем (учетном) уровне [клиента], возможно, используя кредитную карту или другой тип лицензирования. Или некоторые из них могут быть настроены с нижним уровнем только в случае лицензирования CSP.
Арендатор Azure Выделенный и доверенный экземпляр Azure AD, который автоматически создается, когда ваша организация подписывается на подписку на облачную службу Microsoft, например Microsoft Azure, Microsoft Intune или Office 365. Клиент Azure представляет одну организацию.
Каталог Azure AD У каждого арендатора Azure есть выделенный и доверенный каталог Azure AD. Каталог Azure AD включает пользователей, группы и приложения арендатора и используется для выполнения функций управления удостоверениями и доступом для ресурса арендатора
. Источник: Что такое Azure AD
Проще говоря, экземпляр Azure AD — это то, что организация получает, когда организация устанавливает отношения с Microsoft, например подписываясь на Azure, Microsoft Intune или Microsoft 365.
Арендатор подобен лесу в локальной среде.
Лес Active Directory (лес AD) — это самый верхний логический контейнер в конфигурации Active Directory, который содержит домены, пользователей, компьютеры и групповые политики
Они одинаковы, но описываются с разных точек зрения — с AzureAD точка зрения клиента , Каталог Azure AD относится к логическому «контейнеру» и ко всему, что содержится в контейнере, например к пользователям, группам пользователей, приложениям и т. д., по существу ко всему, что служба AzureAD знает о вашей организации (примечание, НЕ включая ресурсы Azure, такие как подписка, учетная запись и т. д.). и т. д.), с точки зрения службы AzureAD (или Microsoft) , каждый клиент является просто одним из своих арендаторов (подумайте о арендодателе, который управляет многими арендаторами в своей квартире), поэтому каждый клиент получает идентификатор (т. е. идентификатор арендатора).
Следовательно, в контексте, ориентированном на клиента, мы склонны использовать «каталог», например. после входа на портал Azure он позволяет вам «переключать каталоги», т. е. позволяет вам, как клиенту Azure AD, решить, какой организацией вы хотите управлять/эксплуатировать. В то время как в контексте конкретной службы (например, Azure) термин «арендатор» обычно используется для обозначения каталога/организации, с которой связана служба, поскольку на самом деле ее не волнует содержимое. в каталоге/организации в таком контексте, например после входа в учетную запись Azure или после получения подписки Azure Azure хочет знать, к какому каталогу/организации привязана ваша учетная запись/подписка, и присваивает свойство «идентификатор арендатора» учетной записи/подписке для целей отслеживания. .
Частично причина наличия двух терминов может быть также связана с тем, что они относятся к разным командам Microsoft, поэтому отсутствует координация в именовании, т. е. если мы придерживаемся одного и того же каталога/идентификатора каталога из начиная с любого места, я не вижу никаких проблем.
Таким образом, существует однозначное сопоставление между каталогом Azure AD и клиентом Azure AD, и они взаимозаменяемо используются в разных контекстах.
Каждый клиент получает арендатора Azure AD.
У одного клиента может быть несколько арендаторов; но арендатор может быть сопоставлен только с одним клиентом. Клиенты могут взаимодействовать, настраивая общий доступ и/или федерации между арендаторами.
Каждый ресурс Office 365 (почтовый ящик Exchange, сайт SharePoint) всегда принадлежит одному арендатору Azure AD.
Подписки Azure являются исключением: они явно связаны с конкретным арендатором AAD, но их можно передавать между ними (с некоторыми ограничениями). Оплата может измениться, когда это произойдет.
И последнее, но не менее важное: синхронизация каталогов (AADConnect) может сопоставлять учетные записи и группы пользователей только из одной или нескольких локальных Active Directory с одним целевым AAD.