管理 Microsoft Azure 雲端資源必須了解一些重要的資訊架構,否則很多時候真的會在 Azure 入口網站迷路或是覺得難用,但只要把觀念弄通就好了。我最近在整合許多 Microsoft 帳戶下的 Azure 訂閱 (訂用帳戶),由於不同的 Microsoft 帳戶下各自有一個 Azure 訂閱 (訂用帳戶),而我又都有權限,管理上還真的有點麻煩,經常要切換來切換去的。本篇文章教大家如何將多個不同的 Azure 訂閱整合在一個目錄下。
管理情境說明
當你登入 Azure 入口網站後,畫面右上角如果有出現「訂用帳戶」這個項目,就代表你目前登入的 Microsoft 帳戶擁有多個不同的「訂用帳戶」可以切換:
由於一個 Microsoft 帳戶可能可以管理的「訂用帳戶」可能很多,因此微軟在這個介面預設以「目錄」來做為一個基本的分類,讓你一次出現的「訂用帳戶」不會太多。
所以你在這個頁面就可以看到,先選取目錄後,底下就會出現隸屬於該「目錄」的「訂用帳戶」。
注意事項:這裡所提到的「目錄」,其實就是 Azure AD ( Azure Active Directory ),預設每個 Microsoft 帳戶底下如果擁有任何一個「訂用帳戶」,預設都會自動建立起一個自己的「目錄」,因此不同的 Microsoft 帳戶下,就會有一個自己的目錄可用。所以當你擁有多個訂用帳戶,而且訂用帳務隸屬在不同的 Microsoft 帳戶下的話,你就會看到如上圖「訂用帳戶」的這個選項了,因為你必須切換不同的「目錄」,才能選取到該「目錄」下的「訂用帳戶」。
在了解了「Microsoft 帳戶」與「目錄」的關係後,接下來就來說明我們該如何將不同「目錄」下的訂用帳戶,合併到同一個「目錄」裡面,好讓如上圖「依目錄篩選」這個下拉選單消失。意思也就是說,我希望當我點選 Azure 入口網站右上方的「訂用帳戶」按鈕後,所顯示的畫面中不需要再出現「依目錄篩選」這個下拉選單,你可以直接勾選「依訂用帳戶篩選」中的項目即可篩選不同訂閱下的服務資源。設定完成後的結果如下圖示,你不用再點選下拉選單了:
如何將訂用帳戶的目錄切換到另一個目錄下
由於「訂用帳戶」下的「目錄」是緊緊綁在一起的,如果要將原有 Microsoft 帳戶下的「訂用帳戶」換到另一個 Microsoft 帳戶下的「訂用帳戶」中的「目錄」,首先你必須要有該「目錄」的「寫入權限」。
那麼「寫入權限」誰有呢?這時就會提到我在【關於 Windows Azure 管理員角色的研究分析與權限指派方法】這篇文章中提到的 Azure 角色,這裡我再重新摘要說明一次。
如果以一個 Azure 上的「訂用帳戶」來說,總共有三種角色,分別說明如下:
- 帳務管理員
- 服務管理員
- 負責管理訂用帳戶下的所有資源,並且擁有「目錄」的最高管理權限。
- 這個角色可以指定給不同的 Microsoft 帳戶,但是指定的人必須由「帳務管理員」這個 Microsoft 帳戶才能修改。
- 在兩個不同的訂用帳戶下,如果是相同的服務管理員,就可以要求 MS Support 將訂用帳戶下的服務做移轉
- 共用管理員
- 負責共同管理訂用帳戶下的所有資源 ,並且用有「目錄」的唯讀權限。
從上述角色可以得知,如果你今天想要把一個訂閱從一個目錄一到另一個目錄,那麼你必須同時要有兩個目錄的「寫入權限」才行,也就是說你必須成為兩個訂閱的「服務管理員」才行。
假設我們有兩個 Microsoft 帳戶,分別擁有的資源與角色如下:
- myazure-1@outlook.com
- 這個帳戶建立了一個「Azure in Open – 1」訂用帳戶 ( 也就是 Azure 訂閱的意思 )
- 該帳戶一定是「Azure in Open – 1」訂用帳戶的「帳務管理員」
- 該帳戶目前是「Azure in Open – 1」訂用帳戶的「服務管理員」
- myazure-2@outlook.com
- 這個帳戶建立了一個「Azure in Open – 2」訂用帳戶 ( 也就是 Azure 訂閱的意思 )
- 該帳戶一定是「Azure in Open – 2」訂用帳戶的「帳務管理員」
- 該帳戶目前是「Azure in Open – 2」訂用帳戶的「服務管理員」
假設我們想要把 「Azure in Open – 2」訂用帳戶全部交由 myazure-1@outlook.com 管理,我們那麼我們應該要把「目錄」的權限交給 myazure-1@outlook.com 來管理。
所以我們要先以 myazure-2@outlook.com 帳戶來登入 Microsoft Azure 訂用帳戶入口網站 ,並且將「Azure in Open – 2」訂用帳戶的「服務管理員」修改為 myazure-1@outlook.com 才行,請參考以下步驟:
- 先以 myazure-2@outlook.com 帳戶登入 Microsoft Azure 訂用帳戶入口網站
- 進入「Azure in Open – 2」訂用帳戶後,點選右側的「編輯訂用帳戶詳細資料」
- 然後改掉「服務管理員」的 Email 地址,改成 myazure-1@outlook.com 這個 Microsoft 帳號
請注意:由於你改掉了「Azure in Open – 2」訂用帳戶的「服務管理員」,因此當你用 myazure-2@outlook.com 帳戶登入到 Azure 管理入口網站 之後,就看不到這個訂閱下所有的 Azure 資源了。不過,你還是可以從 Microsoft Azure 訂用帳戶入口網站 去修改「Azure in Open – 2」訂用帳戶的「服務管理員」,所以你還是有辦法改回來的,請放心 Azure 資料並沒有消失,只是暫時看不到而已。現在,反而是 myazure-1@outlook.com 帳戶如果登入到 Azure 管理入口網站 就可以看到「Azure in Open – 2」訂用帳戶下的所有資源。
我們現在已經把權限都指派給 myazure-1@outlook.com 帳戶了,所以我們現在可以修改目錄資訊,所以請用 myazure-1@outlook.com 帳戶登入到 Azure 管理入口網站,並且先切換到「Azure in Open – 1」訂用帳戶 。
※ 注意:請記得現在 myazure-1@outlook.com 帳戶同時擁有「Azure in Open – 1」與「Azure in Open – 2」訂用帳戶的管理權限。
這時前往【設定】—>【訂用帳戶】—>【編輯目錄】,如下圖示:
然後修改一下目錄,切換到你可以管理的目錄中的其中一個:
下一步之後,他會提示你,如果在該該訂閱下原本有設定「共同管理員」的話,在切換目錄之後,這些「共同管理員」全部都會被移除,因此各位要特別注意,在切換完目錄後,要重新指派此訂閱的「共同管理員」。
完成了! ^_^
最後我整理一下今天的重點資訊:
- 一個「Microsoft 帳戶」下會有多個「訂用帳戶」
- 一個「Microsoft 帳戶」下會有一個「預設目錄」( Azure Active Directory ) (以下簡稱「目錄」)
- 一個「Microsoft 帳戶」可以管理多個「訂用帳戶」
- 一個「訂用帳戶」只能關聯到一個「目錄」,相反的,一個「目錄」可以關聯到多個「訂用帳戶」
- 「目錄」只有「服務管理員」可以切換,沒有權限的人,是無法切換「訂用帳戶」隸屬的「目錄」的。