接入Azure订阅
重要提示
执行租户级接入需具备Azure全局管理员权限。
集成Azure租户请按以下步骤操作:
-
在 扫描配置 中勾选 添加Azure订阅 .
系统将显示 设置Azure AD应用程序及权限 窗口。
-
选择要使用的Azure AD应用程序:
-
若无可用的现有Azure AD应用程序,请按照 此流程 新建并手动填写所需信息。
-
若已有现成Azure AD应用程序,请在 选择现有Azure AD应用程序 下拉菜单中选择目标应用,并点击 下一步 .
-
-
选择需要接入的订阅,点击 添加 按钮。
扫描配置页面将自动显示,您可查看已接入的账户。
创建新Azure AD应用程序
-
打开新浏览器标签页或窗口,使用管理员账户登录Azure门户。
-
通过Azure门户创建Azure AD应用程序:
-
导航至 应用注册 .
-
点击 新注册 .
系统将显示 注册应用程序 窗口。
-
在 名称 .
-
点击 注册 :
新应用程序显示如下:
-
-
复制 显示名称 , 应用程序(客户端) ID 和 目录(租户) ID .
-
返回 扫描配置 浏览器页面,并粘贴第5步复制的信息。
-
为应用程序添加API权限:
-
点击页面左侧菜单中的 API权限 链接。
API权限页面将显示。
-
点击 + 添加权限 .
随后 请求API权限 窗口将弹出。
-
选择 Microsoft Graph .
随后 Microsoft Graph 权限页面将显示。
-
点击 应用程序权限 .
可用权限列表将显示。
-
添加以下权限:
-
User.Read.All -
Group.Read.All -
Application.Read.All -
UserAuthenticationMethod.Read.All
-
-
点击 添加权限 .
已配置权限窗口将显示。
-
点击 为默认目录授予管理员同意 .
如需获取必要权限的帮助,请参阅此 Azure文章 .
-
-
设置 客户端密码 :
-
点击页面左侧菜单中的 证书和密码 链接。
-
点击 + 新建客户端密码 .
随后 添加客户端密码 窗口将显示。
-
在 描述 字段中输入易于识别的说明。
-
将 过期时间 设置为24个月。
注意
当客户端密码过期时,您需要创建新密码并手动将其添加到集成中。
-
点击 添加 .
重要提示
在更新完成前请勿关闭或刷新窗口。
-
-
复制新创建的 值 列下的 客户端密码 .
-
返回 扫描配置 浏览器页面,并粘贴第7步复制的信息。
-
点击 下一步
-
选择以下选项之一:
ARM部署
-
点击 部署ARM模板 按钮。
随后 自定义部署 页面将在新浏览器窗口中显示。
-
配置自定义部署设置:
-
在项目详情中,选择您要使用的 订阅 。
-
选择您的云账户所在的 区域 。
-
为角色输入描述性名称。
-
点击 查看+创建 .
-
检查显示的信息并点击 创建 .
重要提示
在更新完成前请勿关闭或刷新窗口。
注意
若部署过程中遇到错误,请参考 此 文章 。常见原因是
因缺少"microsoft/resources/deployments/validate/action"权限导致的AuthorizationFailed错误.
-
手动操作
-
打开新的浏览器标签页或窗口,使用租户级管理员账户登录Azure门户。
-
前往 管理组 页面,选择需要配置的管理组。
提示
为确保此应用程序能访问其下所有管理组和订阅,应尽可能选择最高层级管理组(例如:租户根组)。
-
进入 访问控制(IAM) 页面。
-
点击 + 添加 按钮并选择 添加自定义角色 .
-
在"基础"选项卡中填写以下信息:
-
在 自定义角色名称 字段输入该角色的唯一标识符。
-
在 描述 字段添加便于识别该角色的信息。
-
-
切换到 JSON 选项卡,点击 编辑 按钮。
-
返回 选择Azure订阅 浏览器页面并复制“permissions”参数。
-
返回 JSON 选项卡并将其粘贴到相同参数上。
-
点击 保存 按钮位于部分右上角。
-
点击 查看 + 创建 按钮位于页面左下角。
-
点击 创建 按钮位于页面左下角。
此时 访问控制 (IAM) 页面将显示。
-
点击 + 添加 按钮并选择 添加角色分配 .
随后 添加角色分配页面 将显示。
-
点击您在第5步中创建的角色名称。
-
点击 下一步 按钮位于页面底部。
此时 添加角色分配 页面显示。
-
在 成员 选项卡下,点击 + 选择成员 .
-
选择此连接对应的应用程序名称。
-
点击页面左下角的 审阅 + 分配 按钮。
-
返回 选择 Azure 订阅 浏览器页面。
-
从 选择 Azure 订阅 选项中选取要使用的 Azure 订阅。
-
点击 添加账户 按钮。