The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

Microsoft Azure 如何轉換「訂用帳戶」隸屬的「目錄服務」

管理 Microsoft Azure 雲端資源必須了解一些重要的資訊架構,否則很多時候真的會在 Azure 入口網站迷路或是覺得難用,但只要把觀念弄通就好了。我最近在整合許多 Microsoft 帳戶下的 Azure 訂閱 (訂用帳戶),由於不同的 Microsoft 帳戶下各自有一個 Azure 訂閱 (訂用帳戶),而我又都有權限,管理上還真的有點麻煩,經常要切換來切換去的。本篇文章教大家如何將多個不同的 Azure 訂閱整合在一個目錄下。

管理情境說明

當你登入 Azure 入口網站後,畫面右上角如果有出現「訂用帳戶」這個項目,就代表你目前登入的 Microsoft 帳戶擁有多個不同的「訂用帳戶」可以切換:

由於一個 Microsoft 帳戶可能可以管理的「訂用帳戶」可能很多,因此微軟在這個介面預設以「目錄」來做為一個基本的分類,讓你一次出現的「訂用帳戶」不會太多。

所以你在這個頁面就可以看到,先選取目錄後,底下就會出現隸屬於該「目錄」的「訂用帳戶」。

 

注意事項:這裡所提到的「目錄」,其實就是 Azure AD ( Azure Active Directory ),預設每個 Microsoft 帳戶底下如果擁有任何一個「訂用帳戶」,預設都會自動建立起一個自己的「目錄」,因此不同的 Microsoft 帳戶下,就會有一個自己的目錄可用。所以當你擁有多個訂用帳戶,而且訂用帳務隸屬在不同的 Microsoft 帳戶下的話,你就會看到如上圖「訂用帳戶」的這個選項了,因為你必須切換不同的「目錄」,才能選取到該「目錄」下的「訂用帳戶」。

在了解了「Microsoft 帳戶」與「目錄」的關係後,接下來就來說明我們該如何將不同「目錄」下的訂用帳戶,合併到同一個「目錄」裡面,好讓如上圖「依目錄篩選」這個下拉選單消失。意思也就是說,我希望當我點選 Azure 入口網站右上方的「訂用帳戶」按鈕後,所顯示的畫面中不需要再出現「依目錄篩選」這個下拉選單,你可以直接勾選「依訂用帳戶篩選」中的項目即可篩選不同訂閱下的服務資源。設定完成後的結果如下圖示,你不用再點選下拉選單了:

 

如何將訂用帳戶的目錄切換到另一個目錄下

由於「訂用帳戶」下的「目錄」是緊緊綁在一起的,如果要將原有 Microsoft 帳戶下的「訂用帳戶」換到另一個 Microsoft 帳戶下的「訂用帳戶」中的「目錄」,首先你必須要有該「目錄」的「寫入權限」。

那麼「寫入權限」誰有呢?這時就會提到我在【關於 Windows Azure 管理員角色的研究分析與權限指派方法】這篇文章中提到的 Azure 角色,這裡我再重新摘要說明一次。

如果以一個 Azure 上的「訂用帳戶」來說,總共有三種角色,分別說明如下:

  • 帳務管理員
    • 負責管理訂用帳戶的帳單,你可以登入 Microsoft Azure 訂用帳戶入口網站 進行各種帳務的設定與管理。
    • 這個角色是無法換人的,也就是說,當初誰負責建立 Azure 訂用帳戶的人,就只有這個人可以看帳單!
  • 服務管理員
    • 負責管理訂用帳戶下的所有資源,並且擁有「目錄」的最高管理權限
    • 這個角色可以指定給不同的 Microsoft 帳戶,但是指定的人必須由「帳務管理員」這個 Microsoft 帳戶才能修改。
    • 在兩個不同的訂用帳戶下,如果是相同的服務管理員,就可以要求 MS Support 將訂用帳戶下的服務做移轉
  • 共用管理員
    • 負責共同管理訂用帳戶下的所有資源 ,並且用有「目錄」的唯讀權限。

從上述角色可以得知,如果你今天想要把一個訂閱從一個目錄一到另一個目錄,那麼你必須同時要有兩個目錄的「寫入權限」才行,也就是說你必須成為兩個訂閱的「服務管理員」才行。

假設我們有兩個 Microsoft 帳戶,分別擁有的資源與角色如下:

  • myazure-1@outlook.com
    • 這個帳戶建立了一個「Azure in Open – 1」訂用帳戶 ( 也就是 Azure 訂閱的意思 )
    • 該帳戶一定是「Azure in Open – 1」訂用帳戶的「帳務管理員」
    • 該帳戶目前是「Azure in Open – 1」訂用帳戶的「服務管理員」
  • myazure-2@outlook.com
    • 這個帳戶建立了一個「Azure in Open – 2」訂用帳戶 ( 也就是 Azure 訂閱的意思 )
    • 該帳戶一定是「Azure in Open – 2」訂用帳戶的「帳務管理員」
    • 該帳戶目前是「Azure in Open – 2」訂用帳戶的「服務管理員」

假設我們想要把 「Azure in Open – 2」訂用帳戶全部交由 myazure-1@outlook.com 管理,我們那麼我們應該要把「目錄」的權限交給 myazure-1@outlook.com 來管理。

所以我們要先以 myazure-2@outlook.com 帳戶來登入 Microsoft Azure 訂用帳戶入口網站 ,並且將「Azure in Open – 2」訂用帳戶的「服務管理員」修改為 myazure-1@outlook.com 才行,請參考以下步驟:

  1. 先以 myazure-2@outlook.com 帳戶登入 Microsoft Azure 訂用帳戶入口網站 
  2. 進入「Azure in Open – 2」訂用帳戶後,點選右側的「編輯訂用帳戶詳細資料
  3. 然後改掉「服務管理員」的 Email 地址,改成 myazure-1@outlook.com 這個 Microsoft 帳號

 

請注意:由於你改掉了「Azure in Open – 2」訂用帳戶的「服務管理員」,因此當你用 myazure-2@outlook.com 帳戶登入到 Azure 管理入口網站 之後,就看不到這個訂閱下所有的 Azure 資源了。不過,你還是可以從 Microsoft Azure 訂用帳戶入口網站 去修改「Azure in Open – 2」訂用帳戶的「服務管理員」,所以你還是有辦法改回來的,請放心 Azure 資料並沒有消失,只是暫時看不到而已。現在,反而是 myazure-1@outlook.com 帳戶如果登入到 Azure 管理入口網站 就可以看到「Azure in Open – 2」訂用帳戶下的所有資源。

 

我們現在已經把權限都指派給 myazure-1@outlook.com 帳戶了,所以我們現在可以修改目錄資訊,所以請用 myazure-1@outlook.com 帳戶登入到 Azure 管理入口網站,並且先切換到「Azure in Open – 1」訂用帳戶 。

※ 注意:請記得現在 myazure-1@outlook.com 帳戶同時擁有「Azure in Open – 1」與「Azure in Open – 2」訂用帳戶的管理權限。

這時前往【設定】—>【訂用帳戶】—>【編輯目錄】,如下圖示:

然後修改一下目錄,切換到你可以管理的目錄中的其中一個:

image

下一步之後,他會提示你,如果在該該訂閱下原本有設定「共同管理員」的話,在切換目錄之後,這些「共同管理員」全部都會被移除,因此各位要特別注意,在切換完目錄後,要重新指派此訂閱的「共同管理員」。

SNAGHTMLf587889

 

完成了! ^_^

 

最後我整理一下今天的重點資訊:

  • 一個「Microsoft 帳戶」下會有多個「訂用帳戶」
  • 一個「Microsoft 帳戶」下會有一個「預設目錄」( Azure Active Directory ) (以下簡稱「目錄」)
  • 一個「Microsoft 帳戶」可以管理多個「訂用帳戶」
  • 一個「訂用帳戶」只能關聯到一個「目錄」,相反的,一個「目錄」可以關聯到多個「訂用帳戶」
  • 「目錄」只有「服務管理員」可以切換,沒有權限的人,是無法切換「訂用帳戶」隸屬的「目錄」的。