【发布时间】:2019-06-25 14:31:54
【问题描述】:
通过 SO、互联网、文档进行搜索,但找不到最佳答案。可能你会知道答案,或者会在适当的时候转给我。
在 Azure 中,我们确实有一个分配了 1 个订阅的目录。在这个目录中,我们有一个用户,这个用户: * 是订阅的所有者 * 不是 AzureAD 管理员(用户没有其他权限)。此用户无法使用当前广告添加/删除用户/组。
但是我们发现这样的用户可以创建新目录,在那里他可以被自动分配到全局管理员角色(创建/删除用户/组等),并且可以移动到他拥有和管理的新创建目录的订阅之上.
这当然不是我们所期望的,因为我们希望控制任何 AD 和用户访问管理。
我还没有找到拒绝目录中的所有用户创建单独目录的方法。
您有这方面的经验和/或一些建议吗?
问候
【问题讨论】:
标签: azure directory permissions