目前證照有效期為一年, Renew 考試不用付費
Lab 練習的步驟
Microsoft Learning Azure Passes
限制 - 1 個 Microsoft Account 只能啟用一次
AZ104 會給 30 天內 100 美元額度
課程預設會建立在 East US 練習
練習環境建立方式 - 使用 Azure Passes
用 Microsoft Account
假設使用 user1@outlook.com
會建立 Azure AD ( 使用 user1outlook.onmicrosoft.com ) - 並賦予 user1@outlook.com 為 Gloal Administrator
Azure Subscription 也會賦予該使用者 Account Admin 兼 Service Admin ( 相當於 ARM 的 subscription owner )
用現有 Azure AD 的 User Account ( work or school account )
假設使用 alan@uuu.com
將 Azure Subscription 賦予該使用者 Account Admin 兼 Service Admin ( 相當於 ARM 的 subscription owner )
在本課程中
使用 user-AGXX@stu.gam.tw
XX為座號
使用 user-AGXX@stu.gam.tw, 建立 Azure AD ( Domain 必須獨一無二, 180312.onmicrosoft.com )
user-AGXX@stu.gam.tw 對 新的 Azure AD 就為 Global Admin
新建新的使用者 ( max@180312.onmicrosoft.com ), 角色為 全域管理員
啟用 Azure Passes ( www.microsoftazurepass.com )
Lab: 建立練習環境
參考下載檔案內的 AZ-104_Share/準備Azure課程練習環境 目錄內的步驟
Windows Server AD 與 Azure AD
驗證方式不同
Windows Server Active Directory AUTH
Kerberos
NTLM
Azure Active Directory AUTH
SAML
Oauth
Open ID
WS-Federation
可以使用 Azure AD Connect 來同步整合
結構不同
Windows Server Active Directory
樹狀式結構, 樹狀頂層可以向下管理
有 GPO
Azure Active Directory
平坦式結構, 彼此獨立
沒有 computer account, 沒有 OU
Implement Azure AD Join
可以將裝置加入到 Azure AD
可以觀察 AAD 中的裝置 -- > 裝置設定
預設可以讓使用者加入裝置
裝置加入 Azure AD 後, 就可以使用 Azure AD 的使用者帳號與密碼登入該機器, 或是用 Windows Hello 登入
該 Azure AD 使用者會被加入本機的 Local Administrator 群組內
Implement Self-Service Password Reset
可以觀察 AAD 中的密碼變更
Free Azure AD 不支援此功能
User Account 建立
Cloud identities - 建立在 Azure AD 中
Directory-synchronized identities - 透過同步
Guest users - 使用外部帳號
用 Object ID 識別
預設所有使用者都可以邀請外部使用者來當 Guest user
要變更設定可以在 AAD 的使用者設定 -- > 外部共同作業設定 變更相關設定
Group Account 建立
類型
Security groups
Microsoft 365 groups
Assignment Types
Assigned
可用來指派權限
Dynamic User
設定規則來決定是否加入此群組, AAD 類型要 P2 才有此功能
Dynamic Device (Security group only)
設定規則來決定是否加入此群組, AAD 類型要 P2 才有此功能
群組生命週期設定
只針對 AAD P2 類型, 然後為 Microsoft 365 群組有效
群組存取權檢閱
可以一次性或是週期的方式檢閱群組內的人是否可以在此群組內
必須要AAD 類型 P2 才有此功能
Administrative Unit 建立
目的: 限制委派限定範圍的管理權
必須要AAD 類型 P1 or P2 角色為 Privileged Role Administrator or Global Administrator
Lab01 : Manage Azure Active Directory Identities
連到 Azure Portal ( https://portal.azure.com )
用建立的使用者帳號登入 ( 有啟用 Azure Pass 的使用者 )
將語言 + 區域的設定改為 English
參考 Github 上的Lab 參考
Azure
Geography (地理位置)
一個地理位置是一個 Market, 例如北美洲, 日本
一個地理位置至少有一個 Region pair
Region Pair
一個 Region Pair 是 2 個 Regions, 在同 Geographic, 距離數百英里
Region
1 個Region 有 1 ~ 多個 Data Center 組成, (在同省份或同城市的不同建築物)
Subscription
是邏輯性的, Resource 們的 billing boundary, Link 在 Azure AD ( 1個Azure AD可以被多個Subscription link )
但 Resource 若有依存關係, 通常要會在同一個訂閱與 Region
MG: Management Group
用來跨 subscription 們管理RBAC, Activity Log, Assign Azure policy, Cost Management
可以多層(含 Tenant Root Group 最多7 層) 可以多個 (最多 10,000 個)
RG: Resource Group
把同subscription 的Resource 們邏輯組織起來, 以方便一起管理
RG中不能有子層的RG
1個RG 中的 Resource 可在不同 Region, 可以是不同 Type
Resource 必須建在 RG 中, 1 個 Resource 同時只能在1個 RG 中但建立後可能移動 RG 或 subscription
沒有留言:
張貼留言