Vor kurzem habe ich mit meinem Microsoft Account eine neue Azure subscription erstellt. Nachdem jedes Azure Abonnement ein Azure Active Directory (AAD) zur Verwaltung dahinter liegen hat, wird bei Neuerstellung ein neues oder existierendes AAD für jede Subscription hinterlegt (siehe auch AAD-1 und AAD-2).
Im Azure Management Portal ist in Settings / Subscriptions in der Spalte "Directory" ersichtlich, welches das Standard-AAD (Default Directory) für eine Azure Subscription ist. Dies ist eine sehr wichtige Information, schließlich werden dort die User, Groups und Apps für die jeweilige Azure Subscription verwaltet.
Der folgende Screenshot zeigt dies in einem Beispiel.
Hier existieren zwei Azure subscriptions (Azure and AzureS), die mit einem AAD (mvpdemo2014.onmicrosoft.com) verwaltet werden. Der interessante Aspekt ist, dass dieses AAD aus einer 30-Tage Office 365 Trial stammt, die seit mehr als eineinhalb Jahren nicht mehr aktiv ist. Irgendein Automatismus (oder Mensch?) hat dieses AAD ausgewählt und meinen Azure Subscriptions zugeordnet...
Wozu soll man das Default AAD ändern?
So weit so gut. Was ist jedoch, wenn man das AAD einer Azure Subscription ändern möchte?
Für Unternehmen etwa ist es sinnvoll, ihr eigenes (federated oder Office365) AAD für die Azure-Verwaltung zu verwenden - und nicht irgendein AAD.
Ich hatte ein anderes Problem damit: Meine Situation war, dass ich in einem der beiden Azure Subscriptions keine Co-Admins hinzufügen konnte. Das Azure-Portal lieferte permanent einen Fehler: "The account 'xy@atwork.at' could not be made a co-administrator due to a directory error." Mühsam...
Bei mehreren Versuchen fand ich heraus, dass das zugrunde liegende AAD (mvpdemo2014.onmicrosoft.com) Ursache für das Problem zu sein schien. In anderen Azure Subscriptions funktionierte das Hinzufügen derselben Co-Admins problemlos... Ich weiß zwar nicht, was das konkrete AAD-Problem war und ich habe auch keine Möglichkeit gefunden, das AAD zu analysieren geschweige denn zu reparieren.
Somit war klar, dass ich eine andere Lösung brauche. Diese war, das AAD für die Azure Subscription zu ändern. Der Vorgang ist hier beschrieben.
Wie man das Default AAD ändert...
Das Ändern des AAD ist glücklicherweise sehr leicht zu bewerkstelligen. Das Azure Portal zeigt wie oben beschrieben das Default Directory in settings / subscriptions an.
Wenn eine Azure Subscription markiert ist, findet man im Menü ganz unten (und fast unscheinbar) die Option "Edit Directory". Diese dient zum Wechseln des Default AADs...
In der folgenden Dialogbox kann ein anderes (existierendes) AAD aus dem Directory Dropdown ausgewählt werden. (Es ist auch möglich, zuvor im Azure Portal ein nigel-nagel-neues AAD zu erstellen und dann dieses zu verwenden...).
In meinem Beispiel habe ich mein "Default Directory" ausgewählt, das ich auch für andere Azure Subscriptions verwende.
Die nächsten Schritte informieren darüber, ob durch den Verzeichniswechsel bestehende Co-Admins betroffen sind oder nicht. Wichtig ist natürlich, dass man selbst ein Global Admin im jeweiligen AAD ist, damit die Operationen darin auch durchgeführt werden können.
In meinem Fall gab es keine Co-Admins (das war ja auch der Grund für den AAD-Wechsel, weil das nicht funktionierte...).
Nach der Bestätigung muss das Azure Portal neu geladen werden: OK.
Nicht wundern, wenn nach dem Reload die gewählte Azure Subscription verschwunden ist, wie der Hintergrund des folgenden Screenshots zeigt. Nun muss natürlich in das "neue" AAD im Subscriptions Menü umgeschaltet werden.
Hier habe ich mein "Default" Active Directory (das ich zuvor bei "Edit Directory" ausgewählt hatte) gewählt und kann nun meine "AzureS" Subscription sehen.
Das wars' auch schon. So einfach kann ein Default AAD einer Azure Subscription gewechselt werden. In meinem Beispiel kann die Azure subscription nun mit dem "neuen" AAD verwaltet werden.
Neue Co-Admins hinzufügen
Nun müssen eigentlich nur mehr die gewünschten Co-Admins zu dieser Azure Subscription hinzugefügt werden. Es können neue Benutzer hinzugefügt oder existierende Benutzer verwendet werden. In meinem Fall habe ich existierende Benutzer verwendet, die bereits Berechtigungen für andere Azure Abos besitzen.
Existierende Benutzer werden markiert und mit "Edit" können durch Markieren die Berechtigung auf die neue Azure Subscription gesetzt werden. Der folgende Screenshot zeigt diesen Vorgang.
Das Ergebnis: Es funktioniert (jetzt). Die Operation liefert keine Fehlermeldung mehr "The account 'xy@atwork.at' could not be made a co-administrator due to a directory error."... das neue AAD hat dieses Problem "behoben".
Eigentlich einfach. Und wichtig. Gerade für Unternehmen, die mehrere Azure Subscriptions verwalten ist das Zusammenführen mehrerer Azure Subscriptions in ein gemeinsames, zentrales AAD hilfreich.
Ich hoffe, dieser Praxistipp hilft beim Konsolidieren und einfache(ren) Verwaltung mehrerer Azure Abonnements!
PS: For an english version of this blogpost see here.