将现有 Azure 帐户与 Azure AD 集成

Question

我的组织为我们的开发人员分配了 MSDN Premium 订阅，每个开发人员都有一个与订阅相关联的 Microsoft 帐户。 Microsoft 帐户与组织电子邮件地址相关联，即 person@organisation.com。其中一些帐户已被用于运行虚拟机网络应用等。

我们现在正在寻求安装 Azure AD Connect 并将我们的 Active Directory 与 Azure 同步，以开发 SSO 应用程序，人们可以在其中以 person1@organisation.com、person2 身份登录@organisation.com 等等。使用 Azure AD 注册组织的域并安装 Azure AD Connect 看起来是一项相当简单的任务，但我不确定的是：

• 一旦我们启动并运行 Azure AD，现有的 person@organisation.com Microsoft 帐户会发生什么情况？
• 它们是否会自动与组织的 Azure AD 关联？
• 是否有必须执行的手动迁移步骤？或者，现有帐户是否会成为孤立帐户？

基本上，一旦我们打开 Azure AD 的开关，我就会尝试了解对现有应用程序和帐户的影响。

谢谢！

Answer 1

首先，当您说“我的组织为我们的开发人员分配了 MSDN Premium 订阅，每个开发人员都有一个链接到订阅的 Microsoft 帐户”- 这些“Microsoft 帐户”是个人吗？ MS 称之为帐户 或 工作/学校帐户？

如果它们是个人帐户，那么它们无论如何都不是组织帐户，并且没有链接到您的内部广告，它们只是具有相同电子邮件地址的帐户。实际上，我们已经经历了这个。

来自 Microsoft 电话交谈 - MSDN Azure 订阅用于开发目的而非生产目的。对于生产，您需要企业协议订阅或其他一些组织优惠。将 AD 连接到的将是这个 AZURE 帐户，而不是 MSDN Azure 订阅。

之后，您可以将这些“MSDN”帐户作为共同管理员或用户添加到 EA/组织订阅的 AD。

最好的办法是给他们打电话。但这就是我们做同样事情的方式。

Answer 2

现有的 person@organisation.com 会发生什么微软 启动并运行 Azure AD 后的帐户？

Microsoft 帐户不同于贵组织的 Azure AD 帐户（OrgId/Work/School 帐户）。这些 Microsoft 帐户与 Org 帐户无关，只是共享相同的电子邮件地址，但托管在完全不同的身份系统中。

它们会自动与 Azure AD 关联吗？ 组织？

不，您的个人用户的工作帐户和 Microsoft 帐户在后端将没有技术连接。

是否有任何必须执行的手动迁移步骤？或者，将 现有帐户被孤立？ MSDN 帐户目前不支持使用 OrgId 登录，仅支持 Microsoft 帐户，因此您必须继续维护它们。

我推荐以下作为最佳实践 -

用于访问 Azure 门户的工作帐户优于 Microsoft 帐户，原因如下 -

• 公司的 IT 团队可以设置工作帐户密码策略
• IT 团队可以重置工作帐号的密码
• Azure AD 报告将包含与工作帐户相关的登录/IP 地址/等信息，而 Microsoft 帐户则没有这种洞察力。
• 只需禁用工作帐户即可禁用对各种 Azure 订阅或其他应用程序的访问。公司对 Microsoft 帐户没有实际控制权。
• 个人用户在使用 NTLM/Kerberos 登录到公司 AD 时可以享受 SSO 的好处。

您必须执行以下操作才能让人们使用 Azure 订阅的工作帐户

• 将每个用户的工作帐户作为服务管理员/共同管理员/任何其他级别添加到所有相关订阅。
• 尽可能从 Azure 服务的所有角色/权限中删除 Microsoft 帐户（请参阅下一点）
• 如here 所述，移动某些角色（例如帐户管理员/服务管理员）存在限制。