Azure AD“目录”和 Azure AD“租户”之间的区别？

我没有足够的代表来评论其他答案，但评论“您可以将多个 AAD 目录分配给单个订阅”。根据文档不正确，相反。 https://docs.microsoft.com/en-us/azure/active-directory/active-directory-how-subscriptions-associated-directory

多个订阅可以信任同一个目录，但每个订阅只信任一个目录。

我的理解是“租户”和“目录”在 Active Directory 文档中基本上可以互换使用。我认为有时使用“租户”更方便，因为服务的标题是“Active Directory”，例如，引用“Active Directory 目录”会让人感到困惑。

您是对的，为了使用 Azure AD，您必须成为系统内的“租户”。因此，租户基本上只是保护 .onmicrosoft.com 子域。那时，您将在 Azure AD 中注册一个帐户。从那里，您可以激活 Office365、Intune 或任何 Azure 服务。

您可能会发现此博客文章和相关图表很有帮助：

• https://marckean.com/2016/06/01/azure-vs-azure-ad-accounts-tenants-subscriptions/

作者对您的问题的回答似乎取决于您如何获得 Azure，

你们中的许多人可能会使用信用卡或其他类型的许可来在中间（帐户）[租户]级别设置 Azure。或者，有些可能仅在 CSP 许可的情况下设置为底层。

Azure 租户 一个专用且受信任的 Azure AD 实例，在您的组织注册 Microsoft 云服务订阅（例如 Microsoft Azure、Microsoft Intune 或 Office 365）时自动创建。Azure 租户代表单个组织。

Azure AD 目录 每个 Azure 租户都有一个专用且受信任的 Azure AD 目录。Azure AD 目录包括租户的用户、组和应用程序，用于对租户资源执行身份和访问管理功能

来源：什么是 Azure AD

简而言之，Azure AD 实例是组织在与 Microsoft 建立关系（例如注册 Azure、Microsoft Intune 或 Microsoft 365）时收到的。

租户类似于本地环境中的林。

Active Directory 林（AD 林）是 Active Directory 配置中最顶层的逻辑容器，其中包含域、用户、计算机和组策略

它们是相同的，但它们是从不同的角度描述的——从 AzureAD客户的角度来看，Azure AD 目录是指逻辑“容器”以及容器中包含的所有内容，例如用户、用户组、应用程序等，本质上是所有AzureAD 服务了解您的组织（注意，不包括订阅、帐户等 Azure 资源），从 AzureAD（或 Microsoft）服务的角度来看，每个客户只是其租户之一（想想管理许多租户的房东）他们的公寓），因此每个客户都会收到一个 ID（即租户 ID）。

因此，在以客户为中心的环境中，我们倾向于使用“目录”，例如在您登录到 Azure 门户后，它允许您“切换目录”，即它让您作为 Azure AD 客户来决定您是哪个组织想管理/操作。在特定服务（例如 Azure）的上下文中，它倾向于使用“租户”来指代服务所关联的目录/组织，因为它并不真正关心目录/组织中的内容这样的上下文，例如，一旦你登录一个 Azure 帐户或一旦你拿起一个 Azure 订阅，Azure 想知道你的帐户/订阅绑定到哪个目录/组织，并且它为帐户分配一个“租户 ID”属性/订阅用于跟踪目的。

有两个术语的部分原因，也可能是因为它们来自不同的微软团队，因此在命名上没有协调，即如果我们从一开始就坚持相同的目录/目录ID地方，我认为不会有任何问题。

因此，Azure AD 目录和 Azure AD 租户之间存在一对一的映射，并且它们在不同的上下文中可以互换使用。

每个客户都会获得一个 Azure AD 租户。

一个客户可以有多个租户；但是一个租户只能映射到一个客户。客户可以通过在租户之间建立共享和/或联合来进行互操作。

每个 Office 365 资源（Exchange 邮箱、SharePoint 站点）始终属于一个 Azure AD 租户。

Azure 订阅是一个例外：它们与特定的 AAD 租户显式关联，但它们可以在它们之间转移（有几个限制）。发生这种情况时，帐单可能会发生变化。

最后但同样重要的是，目录同步 (AADConnect) 只能将用户帐户和组从一个或多个本地 Active Directory 映射到单个目标 AAD。