我很难区分Azure订阅和Azure租户有何不同?我曾尝试通过示例来弄清楚,但每次我都得出结论,它们在某种程度上是相同的东西?如果租户是组织在注册Microsoft云服务时接收并拥有的Azure AD服务的专用示例,那么这不也是订阅吗?
siv3szwd1#
Contoso决定让租户拥有2个订阅:
(but也可以是与另一个订阅的信用卡相同的信用卡)在本例中,两个部门共享同一个Azure AD数据库。但是,部门之间的资源是隔离的,预算也可以分开。
一家控股公司决定拥有两个租户:
在此示例中,两家公司都有不同的Azure AD数据库。
你有一个租客为你的个人训练。在此租户中,您可以拥有:
尽管所有这些订阅都有独立的资源(每个订阅),并且有些是免费的,而你必须为其他订阅付费,但所有订阅都共享同一个Azure AD数据库。
klr1opcd2#
Azure租户是一个目录。Azure订阅是一个对象,表示可以将资源放入其中的“文件夹”。订阅与租户绑定。因此,一个租户可以拥有多个订阅,但反之亦然。链接:https://learn.microsoft.com/en-us/azure/azure-subscription-service-limits
nc1teljy3#
它有助于采取一个场景:假设您首次登录portal.azure.com并创建了一个免费的层级帐户。当您登录Azure时,您拥有与您的帐户关联的单一租户ID,除非您要求Microsoft删除您的帐户,否则该ID不会更改(这不是您的Azure域用户,而是您的Microsoft订阅帐户-例如bob@gmail.com)。您将只有1个订阅,除非您已购买或管理其他订阅(通过使用“转移计费所有权”功能),然后它们将全部列在订阅下。您将对与您的租户ID关联的所有“资源”拥有完全访问权限。这些资源可以是您自己Azure“目录”的一部分,也可以来自其他人授予您访问权限的其他域。您最多可以创建20个目录,并且您最多可以属于500个目录。当您拥有订阅(例如免费帐户)时,您将拥有订阅的“根”的完全权限-例如,如果您单击右上角的姓名并选择“...〉您的权限”,您将看到类似以下内容:您的帐户“YOURACCOUNT@gmail.com”已被分配为“用户访问管理员”角色(类型为BuiltInRole),并且具有访问scope /的权限。您的资源具有基于角色的访问控制,您(订阅所有者)可以将这些控制分配给Azure Active Directory(或其他受信任目录)中的其他用户。默认情况下,对于新订阅,将为帐户管理员分配“服务管理员”权限。这"高于" RBAC角色-每个订阅只能有一个服务管理员。在RBAC术语中,这是“所有者”。更多积分:一个租户可以有多个AD目录,但一个目录只能有一个租户。
参考文献:https://learn.microsoft.com/en-us/azure/role-based-access-control/rbac-and-directory-admin-roleshttps://marckean.com/2016/06/01/azure-vs-azure-ad-accounts-tenants-subscriptions/https://blogit.create.pt/miguelisidoro/2019/01/07/pros-and-cons-of-single-tenant-vs-multiple-tenants-in-office-365/
hmae6n7t4#
这份MS文档已经很好地解释了一切-Subscriptions, licenses, accounts, and tenants for Microsoft's cloud offerings引自文档中的层次结构摘要部分:这里是一个快速回顾:一个组织可以有多个订阅
后来在同一节中说:多个Microsoft云产品订阅可以使用充当通用身份提供程序的同一Azure AD租户。包含内部部署AD DS的同步帐户的中央Azure AD租户为组织提供基于云的身份即服务(IDaaS)。让我们通过一个真实的例子来理解这一切。假设我是一家名为FooBar的公司的所有者,该公司生产软件产品。现在,我将为我的公司设置Azure基础架构:1.我将使用我的电子邮件ID创建Azure帐户。
所有全职员工(FTE)的用户帐户将添加到PermanentAadAAD,所有临时或合同员工将添加到AdhocAadAAD。
总结一下:
1.如果你需要对Azure帐户的用户进行逻辑分隔计费,则需要多个订阅。默认情况下,当你创建新Azure帐户时,你会获得一个订阅。订阅可以是以下列表中的四种类型:1.免费1.即付即用1.企业协议1.云解决方案提供商1.如果你想让用户能够执行操作,那么你可以颁发许可证,例如能够创建VM或Azure应用服务的许可证。另请记住,许可证和基于角色的访问控制(RBAC)是 * 不 * 相同的,尽管两者都能让你在Azure门户中执行操作。但它们有不同的细微差别,你可以自己探索。下图总结了上面的解释。我从我在回答开始时提到的同一个文档-Subscriptions, licenses, accounts, and tenants for Microsoft's cloud offerings中提取了它引用文档中的用户帐户部分:
因此,组织的所有用户帐户和设备都驻留在一个通用Azure AD租户/示例中。
t40tm48m5#
添加更多现有答案租户是一个域,如果这些是某个公司的电子邮件地址,user@exampledomain.com admin@exampledomain.com承租人可以被识别为“exampledomain”,在一个实际的场景中,您可以针对公司或客户创建承租人。订阅类似于另一个逻辑高级别分组。例如,您可以为同一租户中使用的每个环境创建订阅。例如,exampledomain.com租户可以拥有开发、QA和生产订阅。这些订阅将根据您接受的计划单独计费
9njqaruj6#
简单地说,Azure AD的示例是组织在与Microsoft建立关系(例如注册Azure、Microsoft Intune或Microsoft 365)时收到的内容。租户类似于内部部署环境中的林。Active Directory林(AD林)是Active Directory配置中最顶层的逻辑容器,其中包含域、用户、计算机和组策略
wswtfjt77#
将租户视为在Azure中注册的用户/域实体。租户是Azure“客户”-将在Azure目录中注册的唯一实体。订阅是对资源进行分组的操作级别。租户拥有订阅。租户是一种非常有用的方法,在我看来,AWS中缺少这种方法。
nuypyhwy8#
以下是对关键术语及其之间关系的简要说明。它们都来源于Microsoft官方文档。
要创建和使用Azure服务,您首先需要注册[Azure帐户]。资料来源:学习路径:Manage identity and access in Azure Active Directory模块:Create an Azure account练习:Create an Azure account
承租人
Azure租户是Azure AD的单个专用和受信任示例。每个租户(也称为目录)代表单个组织。当你的组织注册Microsoft云服务订阅时,将自动创建一个新租户。由于每个租户都是Azure AD的专用和受信任示例,因此你可以创建多个租户或示例。
身份
标识是可以进行身份验证的对象。标识可以是具有用户名和密码的用户。标识也可以是需要使用密钥或证书进行身份验证的应用程序或其他服务器。*Azure AD是提供标识服务的基础产品 *。资料来源:学习路径:AZ-104: Manage identities and governance in Azure模块:Configure Azure Active Directory练习:Describe Azure Active Directory concepts
订购服务
若要创建和使用Azure服务,你需要Azure订阅...你可以自由创建其他订阅。例如,你的公司可能对你的业务使用单个Azure帐户,而对开发、营销和销售部门使用单独的订阅。创建Azure订阅后,你可以开始在每个订阅中创建Azure资源。
资料来源:学习路径:Azure Fundamentals: Describe Azure architecture and services模块:Get started with Azure accounts在Azure中,订阅是管理、计费和缩放的单位。与资源组是逻辑组织资源的方式类似,订阅允许你逻辑组织资源组并简化计费...一个帐户可以有多个订阅,但只需要有一个订阅。在多订阅帐户中,您可以使用订阅来配置不同的计费模型并应用不同的访问管理策略。您可以使用Azure订阅来定义Azure产品、服务和资源的边界。
资料来源:学习路径:Azure Fundamentals: Describe Azure architecture and services模块:Describe Azure management infrastructure
资源
资源是Azure的基本构建块。您创建、设置、部署等的任何内容都是资源。虚拟机(VM)、虚拟网络、数据库、认知服务等都被视为Azure中的资源。
资源组
资源组只是资源的分组。创建资源时,需要将其放入资源组中。虽然资源组可以包含许多资源,但一个资源一次只能位于一个资源组中。某些资源可以在资源组之间移动,但将资源移动到新组时,该资源将不再与前一个组关联。此外,资源组不能嵌套,这意味着不能将资源组B放在资源组A中。资源组提供了一种将资源分组在一起的方便方法。将操作应用于资源组时,该操作将应用于该资源组中的所有资源。如果删除资源组,则将删除所有资源。如果授予或拒绝对资源组的访问权限,则已授予或拒绝对该资源组中所有资源的访问权限。当您布建资源时,最好考虑最适合您需求的资源群组结构。例如,如果您要设置临时开发环境,将所有资源分组在一起意味着您可以通过删除资源组一次性取消配置所有关联资源。如果您要配置需要三种不同访问架构的计算资源,最好根据访问架构对资源进行分组,然后在资源组级别分配访问权限。对于如何使用资源组,没有硬性规定,因此请考虑如何设置资源组以最大限度地提高其实用性。
资料来源:学习路径:Azure Fundamentals: Describe Azure architecture and services显示器模块:Describe Azure management infrastructure
8条答案
按热度按时间siv3szwd1#
基本了解:
此外:
示例1:
Contoso决定让租户拥有2个订阅:
(but也可以是与另一个订阅的信用卡相同的信用卡)
在本例中,两个部门共享同一个Azure AD数据库。但是,部门之间的资源是隔离的,预算也可以分开。
示例2:
一家控股公司决定拥有两个租户:
在此示例中,两家公司都有不同的Azure AD数据库。
示例3:
你有一个租客为你的个人训练。
在此租户中,您可以拥有:
尽管所有这些订阅都有独立的资源(每个订阅),并且有些是免费的,而你必须为其他订阅付费,但所有订阅都共享同一个Azure AD数据库。
klr1opcd2#
Azure租户是一个目录。Azure订阅是一个对象,表示可以将资源放入其中的“文件夹”。订阅与租户绑定。因此,一个租户可以拥有多个订阅,但反之亦然。
链接:
https://learn.microsoft.com/en-us/azure/azure-subscription-service-limits
nc1teljy3#
它有助于采取一个场景:
假设您首次登录portal.azure.com并创建了一个免费的层级帐户。
当您登录Azure时,您拥有与您的帐户关联的单一租户ID,除非您要求Microsoft删除您的帐户,否则该ID不会更改(这不是您的Azure域用户,而是您的Microsoft订阅帐户-例如bob@gmail.com)。
您将只有1个订阅,除非您已购买或管理其他订阅(通过使用“转移计费所有权”功能),然后它们将全部列在订阅下。
您将对与您的租户ID关联的所有“资源”拥有完全访问权限。这些资源可以是您自己Azure“目录”的一部分,也可以来自其他人授予您访问权限的其他域。
您最多可以创建20个目录,并且您最多可以属于500个目录。
当您拥有订阅(例如免费帐户)时,您将拥有订阅的“根”的完全权限-例如,如果您单击右上角的姓名并选择“...〉您的权限”,您将看到类似以下内容:您的帐户“YOURACCOUNT@gmail.com”已被分配为“用户访问管理员”角色(类型为BuiltInRole),并且具有访问scope /的权限。
您的资源具有基于角色的访问控制,您(订阅所有者)可以将这些控制分配给Azure Active Directory(或其他受信任目录)中的其他用户。
默认情况下,对于新订阅,将为帐户管理员分配“服务管理员”权限。这"高于" RBAC角色-每个订阅只能有一个服务管理员。在RBAC术语中,这是“所有者”。
更多积分:
一个租户可以有多个AD目录,但一个目录只能有一个租户。
参考文献:
https://learn.microsoft.com/en-us/azure/role-based-access-control/rbac-and-directory-admin-roles
https://marckean.com/2016/06/01/azure-vs-azure-ad-accounts-tenants-subscriptions/
https://blogit.create.pt/miguelisidoro/2019/01/07/pros-and-cons-of-single-tenant-vs-multiple-tenants-in-office-365/
hmae6n7t4#
这份MS文档已经很好地解释了一切-Subscriptions, licenses, accounts, and tenants for Microsoft's cloud offerings
引自文档中的层次结构摘要部分:
这里是一个快速回顾:
一个组织可以有多个订阅
后来在同一节中说:
多个Microsoft云产品订阅可以使用充当通用身份提供程序的同一Azure AD租户。包含内部部署AD DS的同步帐户的中央Azure AD租户为组织提供基于云的身份即服务(IDaaS)。
让我们通过一个真实的例子来理解这一切。假设我是一家名为FooBar的公司的所有者,该公司生产软件产品。现在,我将为我的公司设置Azure基础架构:
1.我将使用我的电子邮件ID创建Azure帐户。
*永久Aad
*阿德霍卡德
所有全职员工(FTE)的用户帐户将添加到PermanentAadAAD,所有临时或合同员工将添加到AdhocAadAAD。
总结一下:
组织==租户==Azure活动目录
1.如果你需要对Azure帐户的用户进行逻辑分隔计费,则需要多个订阅。默认情况下,当你创建新Azure帐户时,你会获得一个订阅。订阅可以是以下列表中的四种类型:
1.免费
1.即付即用
1.企业协议
1.云解决方案提供商
1.如果你想让用户能够执行操作,那么你可以颁发许可证,例如能够创建VM或Azure应用服务的许可证。另请记住,许可证和基于角色的访问控制(RBAC)是 * 不 * 相同的,尽管两者都能让你在Azure门户中执行操作。但它们有不同的细微差别,你可以自己探索。
下图总结了上面的解释。我从我在回答开始时提到的同一个文档-Subscriptions, licenses, accounts, and tenants for Microsoft's cloud offerings中提取了它
引用文档中的用户帐户部分:
因此,组织的所有用户帐户和设备都驻留在一个通用Azure AD租户/示例中。
t40tm48m5#
添加更多现有答案租户是一个域,如果这些是某个公司的电子邮件地址,user@exampledomain.com admin@exampledomain.com
承租人可以被识别为“exampledomain”,在一个实际的场景中,您可以针对公司或客户创建承租人。
订阅类似于另一个逻辑高级别分组。例如,您可以为同一租户中使用的每个环境创建订阅。例如,exampledomain.com租户可以拥有开发、QA和生产订阅。这些订阅将根据您接受的计划单独计费
9njqaruj6#
简单地说,Azure AD的示例是组织在与Microsoft建立关系(例如注册Azure、Microsoft Intune或Microsoft 365)时收到的内容。
租户类似于内部部署环境中的林。
Active Directory林(AD林)是Active Directory配置中最顶层的逻辑容器,其中包含域、用户、计算机和组策略
wswtfjt77#
将租户视为在Azure中注册的用户/域实体。租户是Azure“客户”-将在Azure目录中注册的唯一实体。订阅是对资源进行分组的操作级别。租户拥有订阅。租户是一种非常有用的方法,在我看来,AWS中缺少这种方法。
nuypyhwy8#
以下是对关键术语及其之间关系的简要说明。
它们都来源于Microsoft官方文档。
账户
要创建和使用Azure服务,您首先需要注册[Azure帐户]。
资料来源:
学习路径:Manage identity and access in Azure Active Directory
模块:Create an Azure account
练习:Create an Azure account
承租人
Azure租户是Azure AD的单个专用和受信任示例。每个租户(也称为目录)代表单个组织。当你的组织注册Microsoft云服务订阅时,将自动创建一个新租户。由于每个租户都是Azure AD的专用和受信任示例,因此你可以创建多个租户或示例。
身份
标识是可以进行身份验证的对象。标识可以是具有用户名和密码的用户。标识也可以是需要使用密钥或证书进行身份验证的应用程序或其他服务器。*Azure AD是提供标识服务的基础产品 *。
资料来源:
学习路径:AZ-104: Manage identities and governance in Azure
模块:Configure Azure Active Directory
练习:Describe Azure Active Directory concepts
订购服务
若要创建和使用Azure服务,你需要Azure订阅...你可以自由创建其他订阅。例如,你的公司可能对你的业务使用单个Azure帐户,而对开发、营销和销售部门使用单独的订阅。创建Azure订阅后,你可以开始在每个订阅中创建Azure资源。
资料来源:
学习路径:Azure Fundamentals: Describe Azure architecture and services
模块:Get started with Azure accounts
在Azure中,订阅是管理、计费和缩放的单位。与资源组是逻辑组织资源的方式类似,订阅允许你逻辑组织资源组并简化计费...一个帐户可以有多个订阅,但只需要有一个订阅。在多订阅帐户中,您可以使用订阅来配置不同的计费模型并应用不同的访问管理策略。您可以使用Azure订阅来定义Azure产品、服务和资源的边界。
资料来源:
学习路径:Azure Fundamentals: Describe Azure architecture and services
模块:Describe Azure management infrastructure
资源
资源是Azure的基本构建块。您创建、设置、部署等的任何内容都是资源。虚拟机(VM)、虚拟网络、数据库、认知服务等都被视为Azure中的资源。
资源组
资源组只是资源的分组。创建资源时,需要将其放入资源组中。虽然资源组可以包含许多资源,但一个资源一次只能位于一个资源组中。某些资源可以在资源组之间移动,但将资源移动到新组时,该资源将不再与前一个组关联。此外,资源组不能嵌套,这意味着不能将资源组B放在资源组A中。
资源组提供了一种将资源分组在一起的方便方法。将操作应用于资源组时,该操作将应用于该资源组中的所有资源。如果删除资源组,则将删除所有资源。如果授予或拒绝对资源组的访问权限,则已授予或拒绝对该资源组中所有资源的访问权限。
当您布建资源时,最好考虑最适合您需求的资源群组结构。
例如,如果您要设置临时开发环境,将所有资源分组在一起意味着您可以通过删除资源组一次性取消配置所有关联资源。如果您要配置需要三种不同访问架构的计算资源,最好根据访问架构对资源进行分组,然后在资源组级别分配访问权限。
对于如何使用资源组,没有硬性规定,因此请考虑如何设置资源组以最大限度地提高其实用性。
资料来源:
学习路径:Azure Fundamentals: Describe Azure architecture and services显示器
模块:Describe Azure management infrastructure