Vad är en Azure AD-katalog?
Uppdaterad: 6 juli 2015
Gäller för: Azure, Office 365, Windows Intune
Anteckning
Det här avsnittet innehåller onlinehjälpinnehåll för molntjänster, till exempel Microsoft Intune och Office 365, som förlitar sig på Microsoft Azure Active Directory för identitets- och katalogtjänster.
Det här avsnittet beskriver viktiga begrepp och uppgifter som rör hantering av Azure AD kataloger och innehåller följande avsnitt:
Vad är en Azure AD-klientorganisation eller Azure AD-klient?
Så här hämtar du en Azure AD katalog
Associera en Azure AD-katalog med en ny Azure-prenumeration
Skapa en Azure AD katalog genom att registrera dig för en tjänst som en organisation
Hantera en Azure-etablerad standardkatalog
Lägga till och hantera flera Azure AD kataloger
Ta bort en Azure AD katalog
- Villkor som måste vara uppfyllda innan en Azure AD-katalog kan tas bort
Vad är en Azure AD-klientorganisation eller Azure AD-klient?
På en fysisk arbetsplats kan en organisation vara en grupp eller ett företag som är inrymd i en byggnad. Till exempel kanske ditt företag äger kontorsutrymme i en byggnad. Den här byggnaden kan ligga på en gata med många andra företag. I vår kontext är ditt företag en klientorganisation, eller klient, i byggnaden. Den här byggnaden är en tillgång för din organisation och ger säkerhet och ser till att ni kan bedriva er verksamhet på ett säkert sätt. Den är också åtskild från andra företag på er gata. Detta säkerställer att din organisation och resurserna där isoleras från andra företag.
På en arbetsplats i molnet kan en klientorganisation definieras som en klient eller organisation som äger och hanterar en specifik instans av molntjänsten. Med identitetsplattformen som tillhandahålls av Microsoft Azure är en klient helt enkelt en dedikerad instans av Azure AD (Active Directory Azure) som din organisation tilldelas och äger när den registrerar sig för en Microsoft-molntjänst som Azure eller Office 365.
Varje Azure AD-katalog är separat och åtskild från andra Azure AD-kataloger. Precis som ett företags kontorsbyggnad är en säker resurs som är specifik för din organisation har även Azure AD-katalogen utformats för att vara en säker tillgång för exklusiv användning av din organisation. Azure AD-arkitekturen håller isär kunddata och identitetsinformation. Det innebär att användare och administratörer av en Azure AD-katalog inte oavsiktligt eller illvilligt kan komma åt data i en annan katalog.
Så här hämtar du en Azure AD katalog
Du får en Azure AD katalog när du registrerar dig för en Microsoft-molntjänst. Du kan skapa ytterligare kataloger efter behov. Du kan till exempel skapa din första katalog som en produktionskatalog och sedan skapa en annan katalog för testning eller mellanlagring.
Anteckning
När du har registrerat dig för din första tjänst rekommenderar vi att du använder samma administratörskonto som associerats med din organisation när du registrerar dig för andra Microsoft-molntjänster. Mer information om användar-ID:t finns i Vad är mitt användar-ID och varför behöver jag det?.
Första gången du registrerar dig för en Microsoft-molntjänst som Azure, Microsoft Office 365 eller Microsoft Intune uppmanas du att ange information om din organisation och organisationens domännamnsregistrering på Internet. Den här informationen används sedan för att skapa en ny Azure AD-kataloginstans för din organisation. Samma katalog används för att autentisera inloggningsförsök när du prenumererar på flera Microsoft-molntjänster.
De ytterligare tjänsterna utnyttjar alla befintliga användarkonton, principer, inställningar eller lokal katalogintegrering som du konfigurerar för att förbättra effektiviteten mellan organisationens identitetsinfrastruktur lokalt och Azure AD.
Om du ursprungligen registrerade dig för en Microsoft Intune-prenumeration och slutförde de nödvändiga stegen för att ytterligare integrera din lokala Active Directory med Azure AD-katalogen genom att distribuera katalogsynkronisering och/eller servrar med enkel inloggning, kan du registrera dig för en annan Microsoft-molntjänst som Office 365 som också kan dra nytta av samma fördelar med katalogintegreringen som du nu använder med Microsoft Intune.
Mer information om hur du integrerar din lokala katalog med Azure AD finns i Katalogintegrering.
Associera en Azure AD-katalog med en ny Azure-prenumeration
Du kan associera en ny Azure-prenumeration med samma katalog som autentiserar inloggningen för en befintlig Office 365- eller Microsoft Intune-prenumeration. Logga in på Azure-hanteringsportalen med ditt arbets- eller skolkonto. Azure-hanteringsportalen returnerar ett meddelande om att det inte gick att hitta några prenumerationer för det kontot. Välj Registrera dig för Azure så blir din katalog tillgänglig för administration i Azure-hanteringsportalen. Mer information finns i Hantera katalogen för din Office 365-prenumeration i Azure.
En video om vanliga användningsfrågor för Azure AD finns i Azure Active Directory – Vanliga frågor om registrering, inloggning och användning.
Skapa en Azure AD katalog genom att registrera dig för en tjänst som en organisation
Om du inte har någon prenumeration på en Microsoft-molntjänst än kan du använda en av länkarna nedan för att registrera dig. När du registrerar dig för din första tjänst skapas en Azure AD-katalog automatiskt.
Azure - Registrera dig nu.
Office 365 – Registrera dig nu.
- Microsoft Intune Tilldela nu.
Hantera en Azure-etablerad standardkatalog
I dag skapas en katalog automatiskt när du registrerar dig för Azure och din prenumeration associeras med den katalogen. Men om du ursprungligen registrerade dig för Azure före oktober 2013 skapades ingen katalog automatiskt. I så fall kan det hända att Azure etablerade en standardkatalog för ditt konto i efterhand. Din prenumeration kopplades i så fall till den standardkatalogen.
Den här typen av katalogetablering gjordes i oktober 2013 som en del av en övergripande förbättring av säkerhetsmodellen för Azure. Modellen tillhandahåller organisationsidentitetsfunktioner för alla Azure-kunder och ser till att alla Azure-resurser är tillgängliga i kontexten för en användare i katalogen. Du kan inte använda Azure utan en katalog. Det var nödvändigt att skapa en katalog för alla användare som registrerade sig före den 7 juli 2013 men som inte hade någon katalog. Om du redan hade skapat en katalog associerades din prenumeration med den katalogen.
Det kostar inget att använda Azure AD. Katalogen är en kostnadsfri resurs. Det finns ytterligare en Azure Active Directory Premium nivå som licensieras separat och innehåller ytterligare funktioner som företagsanpassning och lösenordsåterställning med självbetjäning.
Om du vill ändra visningsnamnet för din katalog klickar du på katalogen i hanteringsportalen och klickar på Konfigurera. Som du ser senare i det här avsnittet kan du lägga till en ny katalog eller ta bort en katalog som du inte längre behöver. Om du vill associera din prenumeration med en annan katalog klickar du på Inställningar>Prenumerationer>Redigera katalog. Du kan också skapa en anpassad domän med DNS-namnet som du har registrerat i stället för standarddomänen *.onmicrosoft.com, som kan vara bättre med en tjänst som SharePoint Online.
Mer information om hur du hanterar din katalog finns i Administrera din Azure AD katalog.
Lägga till och hantera flera Azure AD kataloger
Du kan lägga till en Azure AD-katalog på Azure-hanteringsportalen. Välj tillägget Active Directory till vänster och klicka på Lägg till.
Du kan hantera alla kataloger som helt oberoende resurser. Varje katalog är en peer med en fullständig funktionsuppsättning som är logiskt oberoende av andra kataloger som du hanterar. Det finns ingen överordnad-underordnad-relation mellan kataloger. Detta oberoende mellan kataloger gäller resursoberoende, administrativt oberoende och synkroniseringsoberoende.
Resursoberoende. Om du skapar eller tar bort en resurs i en katalog påverkas inte resurser i andra kataloger, delvis med undantag av externa användare, som beskrivs nedan. Om du använder en anpassad ”contoso.com”-domän med en katalog kan den inte användas med någon annan katalog.
Administrativt oberoende. Om en icke-administrativ användare av katalogen ”Contoso” skapar testkatalogen ”Test”:
Som standard läggs den användare som skapar en katalog till som en extern användare i den nya katalogen och tilldelas rollen global administratör i katalogen.
Administratörerna av Contoso-katalogen har inte någon direkt administratörsbehörighet till katalogen Test såvida inte någon av administratörerna av Test-katalogen uttryckligen beviljar dem sådan behörighet. ”Contoso”-administratörerna kan kontrollera åtkomsten till katalogen ”Test” tack vare deras kontroll över användarkontot som skapade ”Test”.
Om du ändrar (lägger till eller tar bort) en administratörsroll för en användare i en katalog så påverkar inte ändringen administratörsrollen som användaren kan ha i en annan katalog.
Synkroniseringsoberoende. Du kan konfigurera varje Azure AD separat om du vill synkronisera data från en enskild instans av antingen:
Använd katalogsynkroniseringsverktyget om du vill synkronisera data med en enda AD-skog.
Azure Active Directory Connector för Forefront Identity Manager för att synkronisera data med en eller flera lokala skogar och/eller andra datakällor än AD-datakällor.
Observera att dina kataloger, till skillnad från andra Azure-resurser, inte är underordnade resurser till en Azure-prenumeration. Så om du avbryter eller tillåter att din Azure-prenumeration upphör att gälla kan du fortfarande komma åt dina katalogdata med hjälp av Azure PowerShell, Azure Graph API eller andra gränssnitt som Office 365 Admin Center. Du kan även associera en annan prenumeration med katalogen.
Ta bort en Azure AD katalog
En global administratör kan ta bort en Azure AD katalog från Azure-hanteringsportalen. När en katalog tas bort tas även alla resurser som ingår i katalogen bort. Därför är det viktigt att du är helt säker på att du inte behöver katalogen innan du tar bort den.
Anteckning
Om användaren har loggat in med ett arbets- eller skolkonto kan han eller hon inte ta bort sin hemkatalog. Om användaren till exempel är inloggad som joe@contoso.onmicrosoft.com kan denna användare inte ta bort katalogen som har contoso.onmicrosoft.com som standarddomän.
Villkor som måste vara uppfyllda innan en Azure AD-katalog kan tas bort
Azure AD kräver att vissa villkor är uppfyllda innan du kan ta bort en katalog. Detta minskar risken för att borttagningen av en katalog påverkar användare eller program negativt, till exempel möjligheten för användare att logga in i Office 365 eller att komma åt resurser i Azure. Om en katalog för en prenumeration tas bort av misstag kan användaren inte komma åt Azure-resurser för den prenumerationen.
Följande villkor kontrolleras:
Den enda användaren i katalogen är den globala administratören som ska ta bort katalogen. Andra användare måste tas bort innan katalogen kan tas bort. Om användarna synkroniseras lokalt måste synkroniseringen inaktiveras och användarna måste tas bort i molnkatalogen med hjälp av hanteringsportalen eller Azure-modulen för Windows PowerShell. Det finns inga krav på att ta bort grupper eller kontakter, till exempel kontakter som lagts till från administrationscenter för Office 365.
Det får inte finnas några program i katalogen. Alla program måste tas bort innan katalogen kan tas bort.
Det får inte finnas några prenumerationer för Microsoft Online Services, till exempel Microsoft Azure, Office 365 eller Azure AD Premium, som är kopplade till katalogen. Om en standardkatalog skapades för dig i Azure kan du inte ta bort den katalogen om din Azure-prenumeration fortfarande är beroende av den här katalogen för autentisering. På liknande sätt kan du inte ta bort en katalog om en annan användare har associerat en prenumeration med den. Om du vill associera din prenumeration med en annan katalog loggar du in på Azure Management Portal och klickar på Inställningar i det vänstra navigeringsfältet. Klicka sedan på Prenumerationer och Redigera katalog. Mer information om Azure-prenumerationer finns i Hur Azure-prenumerationer är kopplade till Azure AD.
Anteckning
Om din prenumeration avbryts och du vill ta bort en katalog loggar du in med en annan prenumeration och lägger till den globala administratören för katalogen som medadministratör för prenumerationen. Logga sedan ut och logga in igen med prenumerationens medadministratörskonto. Du bör sedan kunna ta bort katalogen om alla andra villkor är uppfyllda.
Inga Multi-Factor Authentication-providers får vara kopplade till katalogen.