Buenos dias,
Hace poco vimos «Cómo conectar Directorios Activos de nuestras suscripciones de Azure y de Office 365» en el siguiente post:
Conectar Directorios Activos de nuestras suscripciones de Azure y Office 365.
Una de las dudas, a nivel de Seguridad, que me generaba era que cuando conectábamos AAD1 (suscripción de Azure) y AAD2 (suscripción de Office 365), nos aparecía este mensaje: … se convertirá en «Global Admin» del directorio «Trasto»:
O sea, que con el usuario Administrador de AAD1 tengo acceso «Full control» sobre la suscripción de Office 365!!!!! Y puedo borrar cualquier usuario del AAD2!!!!. ¿Pero esto no es lo que yo quería? ¿Que ha pasado?. Esta era la situación:
Todo controlado. Está claro, como hemos visto y nos ha informado Azure AD perfectamente, que al conectar ambos dominios se necesitan credenciales de Global Admin en Origen y en Destino, como si de dos Directorios Activos On-premises se tratase. Veamos desde este prisma y lo entenderemos mejor. Y al usuario de AAD1 se le proporcionan estos privilegios en AAD2. Aqui está el Quiz de la cuestión.
Ahora bien, si queremos restringir estos permisos, que es que si, obviamente, tenemos que cambiarlos, quitar los superpoders de Global Admin del usuario de AAD1 en AAD2, y tenemos las siguientes opciones de roles que podemos asignar:
Lo que buscamos es que desde AAD1 tengamos acceso a seleccionar usuarios de AAD2 para poder darles privilegios sobre los diversos Resource Groups de nuestra suscripción de Azure, por lo tanto, y como dice el Gran Cervigon un «usuario pelao»nos vale, pues seleccionamos User:
Ahora el usuario Global Administrator de AAD1 es un «usuario pelao» de AAD2. Comprobemos, por un lado, que no vemos nada de AAD2:
Correcto. Y, por otro lado, que podemos asignar privilegios a los usuarios de AAD2 …
También correcto. Esto es todo lo que queríamos desde el principio.
Un abrazo y buena semana,
Roberto