將現有Azure帳戶與Azure AD集成

Question

我的組織為我們的開發人員分配了MSDN Premium訂閱，每個開發人員都有一個鏈接到訂閱的Microsoft帳戶。 Microsoft帳戶與組織電子郵件地址即person@organisation.com相關聯。 多個帳戶已經用於運行VM Web應用程序等。

現在，我們正在尋求安裝Azure AD Connect並將Active Directory與Azure同步，以開發人們可以以person1@organisation.com ， person2@organisation.com等身份登錄的SSO應用程序。 在Azure AD中注冊組織的域並安裝Azure AD Connect看起來是一個相當簡單的任務，但是我不確定的是：

• 一旦啟動並運行Azure AD，現有的person@organisation.com Microsoft帳戶會怎樣？
• 他們會自動與組織的Azure AD關聯嗎？
• 是否需要執行任何手動遷移步驟？ 還是將現有帳戶孤立？

基本上，一旦我們輕按Azure AD的開關，我就會試圖了解對現有應用程序和帳戶的影響。

謝謝！

Answer 1

一旦啟動並運行Azure AD，現有的person@organisation.com Microsoft帳戶會怎樣？

Microsoft帳戶與組織的Azure AD帳戶（OrgId / Work / School帳戶）不同。 這些Microsoft帳戶與Org帳戶無關，僅共享相同的電子郵件地址，但托管在完全不同的身份系統中。

他們會自動與組織的Azure AD關聯嗎？

不，您的個人用戶的工作帳戶和Microsoft帳戶在后端將沒有技術連接。

是否需要執行任何手動遷移步驟？ 還是將現有帳戶孤立？ 截至目前，MSDN帳戶不支持使用OrgId登錄，僅支持Microsoft帳戶，因此您將必須繼續維護它們。

我建議以下最佳做法-

由於以下原因，與Microsoft帳戶相比，首選用於提供對Azure門戶訪問權限的工作帳戶-

• 工作帳戶密碼政策可以由公司的IT團隊設置
• IT團隊可以重置工作帳戶的密碼
• Azure AD報告將包含有關與Work帳戶相關的登錄/ IP地址等的信息，而對Microsoft帳戶則沒有這種了解。
• 只需禁用工作帳戶，即可禁用對各種Azure訂閱或其他應用程序的訪問。 公司對Microsoft帳戶沒有實際控制權。
• 使用NTLM / Kerberos登錄到公司AD時，個人用戶將獲得SSO的好處。

您將必須執行以下操作才能使人們轉移使用工作帳戶進行Azure訂閱

• 將每個用戶的工作帳戶作為服務admin / co-admin /任何其他級別添加到所有相關的訂閱中。
• 盡可能從Azure服務的所有角色/權限中刪除Microsoft帳戶（請參閱下一點）
• 有中所述移動一定的作用（S）如賬戶管理/服務管理局限在這里 。

Answer 2

首先，當您說“我的組織為我們的開發人員分配了MSDN Premium訂閱，每個開發人員都有一個與該訂閱鏈接的Microsoft帳戶 ”時-這些“ Microsoft帳戶”是MS所說的個人帳戶還是Work / School帳戶 ？

如果它們是個人帳戶，那么它們無論如何都不是組織帳戶，也沒有鏈接到您的內部廣告，它們只是使用相同電子郵件地址的帳戶。 實際上，我們必須已經經歷了這一過程。

通過Microsoft電話對話-MSDN Azure訂閱僅出於開發目的而不用於生產。 對於生產，您需要企業協議訂閱或其他組織報價。 將您連接到的是這個AZURE帳戶，而不是MSDN Azure訂閱。

之后，您可以將這些“ MSDN”帳戶作為共同管理員或用戶添加到EA /組織訂閱的廣告中。

最好的辦法是給他們打電話。 但這就是我們所做的完全相同的事情。