Поиск в SO, интернете, документации и не смог найти лучший ответ для этого.Возможно, вы узнаете ответ или передадите мне, где это необходимо.
В Azure у нас есть Каталог с 1 подпиской.В этом каталоге у нас есть пользователь, этот пользователь: * ВЛАДЕЛЕЦ подписки * НЕ является администратором AzureAD (у пользователя нет дополнительных прав).Этот пользователь не может добавлять / удалять пользователей / группы с помощью точного объявления.
Однако мы обнаружили, что такой пользователь МОЖЕТ создать каталог ne, в котором его можно автоматически назначить на роль глобального администратора (create /удалить пользователей / группы и т. д.) и МОЖЕТ перейти выше указанной подписки во вновь созданный каталог, которым он владеет и которым он управляет.
Это, конечно, не то, чего мы ожидаем, поскольку мы хотим иметь контроль над любым AD и управлением доступом пользователей.
Я пока не смог найти способ запретить всем пользователям в каталоге создать отдельный каталог.
У вас есть некоторый опыт с этим и / или какой-нибудь совет?
С уважением