長久以來,我們在 Azure 建立一個訂用帳戶(Subscription)時,預設就會產生一個預設目錄(Azure AD),並且將訂用帳戶與預設目錄關聯在一起。如果我們想要授權特定使用者使用特定訂用帳戶的話,則必須先將特定使用者加入到你的預設目錄中,才能進行 IAM 授權。但問題來了,任何目錄的管理者,都可以加入任意使用者,而只要該使用者被加入目錄,該使用者在登入 Azure Portal 切換目錄的時候,就會看見這個目錄名稱,而且完全無法自行離開這個目錄。今天終於等到 Azure 實現「離開目錄」的功能,本篇文章將說明操作的方式。
這個問題我算是被荼毒甚深,因為我們在承接專案時,客戶經常會把我加入目錄,授權我幫他們設定 Azure 資源與服務。當專案結束後,客戶通常會記得要拿掉授權,但也通常會忘記也要一併從 Azure AD 目錄中移除使用者,而且操作步驟相對複雜,大部分客戶都不會操作。
這會導致我經常看到一堆完全沒有訂閱的目錄,在切換目錄的過程就會出現一大堆莫名其妙的目錄名稱。最悲劇的是,幾乎所有人的目錄名稱,都叫做「預設目錄」或「Default Directory」,從名稱外觀根本區分不出這些目錄是誰家的,這困擾好多年啊!
2021-06-07 更新:新版 Azure AD (AAD) 直接到 https://myaccount.microsoft.com/organizations 就可以離開組織,不過並不支援「微軟帳戶」(Microsoft Account),所以目前無解!
以下是完整的設定步驟:
-
連到 https://account.activedirectory.windowsazure.com/
-
先從畫面右上角切換到你想離開的目錄
-
再次確認你切換過去的目錄就是你要離開的目錄 (tenantId
)
-
再點擊右上角下拉選單的「設定檔」連結
-
再點擊畫面中的「離開組織」連結 (只會有一個連結顯示離開組織)