Azure Active Directory角色

Question

我想弄清楚Azure AD角色是如何工作的。

我登录到旧门户（manage.windowsazure.com），因为Active Directory尚未移动到新门户（portal.azure.com）。然后我添加了一个角色为“User”的用户，另一个角色为“Billing Admin”的用户，另一个用户为“Global Admin”。

在新门户中，我可以分配角色来管理这两个用户都有权访问的资源。但是，如果我尝试使用这些帐户之一登录Azure AD，则会收到“找不到订阅”消息。我不明白为什么，因为根据此Microsoft's article，至少全局管理员和帐单管理员应该有权访问。

那么，我怎么能有角色让财务团队中的人只能访问与财务相关的信息呢？

Answer 1

我理解这一点的方式是Azure AD（用户管理，帐单管理等）中的角色仅适用于Azure AD。它们与订阅角色无关（您在Azure门户中设置的角色，如Owner，Contributor，Reader）。

您必须做的是在旧门户中的Azure AD中创建这些用户后，请返回Azure门户并根据您的要求为这些用户分配预订角色。一旦这些人拥有分配的订阅角色，他们应该能够访问Azure门户。您可能会发现此链接对分配订阅角色很有用：https://azure.microsoft.com/en-in/documentation/articles/role-based-access-control-configure/。