Azure AD совместно использует идентификаторы управляемых служб для клиентов / подписок

Question

Azure AD имеет B2B сотрудничество для приглашения внешних пользователей.

Но что, если я не хочу приглашать внешнюю службу Azure с MSI.

Можно ли создать группу Azure AD и добавить внешний (еще одна подписка / клиент в Azure) MSI, который я затем смогу использовать для предоставления доступа к ресурсам?

Скажем, я не хочу предоставлять фабрике данных партнеров B2B доступ к нашей базе данных SQL, и я не хочу давать им логин SQL.

Answer 1

MSI являются принципалами обслуживания, которые не могут быть приглашены другим арендаторам. Они всегда специфичны для арендатора.

Сценарий звучит так, как будто вам нужно предоставить доступ к чему-либо, связанному с вашим арендатором. Я бы предложил создать приложение регистрации (приложение), добавление ключа и передача этих учетных данных другому сервису. Затем вы можете предоставить приложению доступ к своей подписке Azure и т. Д.