長久以來,我們在 Azure 建立一個訂用帳戶(Subscription)時,預設就會產生一個預設目錄(Azure AD),並且將訂用帳戶與預設目錄關聯在一起。如果我們想要授權特定使用者使用特定訂用帳戶的話,則必須先將特定使用者加入到你的預設目錄中,才能進行 IAM 授權。但問題來了,任何目錄的管理者,都可以加入任意使用者,而只要該使用者被加入目錄,該使用者在登入 Azure Portal 切換目錄的時候,就會看見這個目錄名稱,而且完全無法自行離開這個目錄。今天終於等到 Azure 實現「離開目錄」的功能,本篇文章將說明操作的方式。
![I JUST WANNA LEAVE AZURE AD.](https://user-images.githubusercontent.com/88981/209921365-e21b21e1-4bda-4ddc-ac7c-230a77970854.png)
這個問題我算是被荼毒甚深,因為我們在承接專案時,客戶經常會把我加入目錄,授權我幫他們設定 Azure 資源與服務。當專案結束後,客戶通常會記得要拿掉授權,但也通常會忘記也要一併從 Azure AD 目錄中移除使用者,而且操作步驟相對複雜,大部分客戶都不會操作。
這會導致我經常看到一堆完全沒有訂閱的目錄,在切換目錄的過程就會出現一大堆莫名其妙的目錄名稱。最悲劇的是,幾乎所有人的目錄名稱,都叫做「預設目錄」或「Default Directory」,從名稱外觀根本區分不出這些目錄是誰家的,這困擾好多年啊!
2021-06-07 更新:新版 Azure AD (AAD) 直接到 https://myaccount.microsoft.com/organizations 就可以離開組織,不過並不支援「微軟帳戶」(Microsoft Account),所以目前無解!
以下是完整的設定步驟:
-
連到 https://account.activedirectory.windowsazure.com/
-
先從畫面右上角切換到你想離開的目錄
![從畫面右上角切換到你想離開的目錄](https://user-images.githubusercontent.com/88981/47196962-e9bf0d00-d395-11e8-8cbf-3e61382266ba.png)
-
再次確認你切換過去的目錄就是你要離開的目錄 (tenantId
)
![確認你切換過去的目錄就是你要離開的目錄](https://user-images.githubusercontent.com/88981/47197071-779af800-d396-11e8-82d9-e54dc02ae317.png)
-
再點擊右上角下拉選單的「設定檔」連結
![點擊右上角下拉選單的「設定檔」](https://user-images.githubusercontent.com/88981/47197137-dd877f80-d396-11e8-901d-38d122856785.png)
-
再點擊畫面中的「離開組織」連結 (只會有一個連結顯示離開組織)
![點擊畫面中的「離開組織」連結](https://user-images.githubusercontent.com/88981/47197224-5d154e80-d397-11e8-8ee2-8ce27f33abaf.png)