订阅是啥？

“An Azure subscription is a logical unit of Azure services that links to an Azure account, which is an identity in Azure Active Directory.”

一句话说订阅就是用来关联Azure账户和Azure资源服务的东西。

为什么要用订阅去关联呢？ 因为：为了方便管理。

为什么要管理呢？因为：我有不同的目的和需求啊

啥目的和需求呢？ 两种方式：billing boundary 和 access control boundary。第一种，也就是我要我这个订阅里面的资源是按付费分类的，这样这组资源的账单就统一发给这个订阅A，另一组订阅B另一个付费方式，这个账单就隶属于订阅B；第二种，我想要的的这组订阅的访问权限统一管理，比如，你们公司有不同的部门，每个部门享有的订阅policy不一样，这样可以设置不同订阅不同的权限。

Azure里面订阅是和账户绑定的，一个账户可以购买多个订阅。比如，公司可以把订阅命名为财务部、市场部、销售部等等来管理。每个订阅的费用和计费方式和使用都是独立分开的。但是一个订阅只能个一个账户绑定。

账户和订阅的关系可以理解为：
账户是人的身份证，订阅是手机号码，手机号码需要用身份证去注册申请，一个人可以有好几个手机号码，拿一个工作用，一个家人用，两者分别单独计费不同用途，而且一个手机号只能对应一个身份证号。

为啥叫活动目录，听起来怎么也奇奇怪怪的，怎么来理解呢？
在IT运维管理中，一个主要工作是管理这个域里面的账户和密码，管理这些激活了的，生效的，active的账户和密码，这样才能让公司的人员能登陆电脑，登录相关的网站和应用等等。其实管理账户和密码不就是管理一个个的数据组么，为啥AD是Azure里面主要的一个技术部分呢，因为里面不仅存账户和密码，还包括用户登录过程、身份验证和目录搜索。“目录”顾名思义是用来方便查找数据的。

活动目录是一个系统，用来存储目录数据，管理用户和资源之间的关系

所以前面提到的订阅也是基于AD的。

AD有 Azure AD 和本地的 AD域服务（AD DS）
AD DS是本地Windows server服务器上的角色。Azure AD 是多用户公共目录服务，这意味着Azure AD为云服务和应用程序创建租户。

Azure AD是云上的多租户目录和标识管理服务，提供核心目录和身份管理功能，user可以使用单一登录SSO来访问其他云的SaaS应用程序，如Office365。比如，每个Office365，Azure，CRM online租户实际上都是Azure AD的租户。用租户来为Azure AD里面的app管理访问权限。

AAD是多租户服务，意味着能够同时支持多个不同的组织，可存储每个组织中用户的目录信息。
AAD是以目录为单位来区分范围的。每个目录相当于一个房间。这些房间同在一个大楼里面，但是每个房间又是相对独立的一个个体。要想在AAD中添加人或者添加程序时首先需要创建一个目录，目录是最基本的存在，AAD中所有的东西都是保存在目录中。

Azure AD中，租户表示组织。在注册Azure、intune（一个windows针对中小企业的桌面管理工具云服务）、office 365等微软云服务时，租户接收并拥有Azure AD服务专用实例（租户对应AAD实例）。
每个Azure AD租户都是独特的，独立于其他的Azure AD 租户。
租户包含公司中的用户以及用户的相关信息（比如，密码、用户配置文件数据、权限等等），此外，租户还包含与某家组织以及安全性相关的组、应用程序和其他信息。
若要允许Azure AD 里面的用户登录到你的应用程序，必须在你的自己的租户中注册你的应用程序。在Azure AD租户中发布应用程序是完全免费的。实际上，大多人都会对实验、开发、过渡、测试目的创建多个租户和应用程序。

如果你以前使用个人Microsoft账户注册过Azure订阅，那么恭喜你，你已经拥有了一个租户。

通俗理解租户：
Azure AD是用来身份认证管理的。组织由多个用户组成，如果一个组织里的好多人都需要注册登录使用一个应用程序，那么租户将这个组织里的人和应用程序圈在一起，租户里面有用户的AD 以及注册的这个应用程序，那么这个租户里面的人就可以通过AD登录进去这个应用程序。
多租户技术的好处在于：
1）多个租户里面有相应的应用程序，在多租户构架下享有一样的软件环境，这样软件更新可以统一进行，也可以共享底层资源（多种共享模式）。
2）租户与租户之间进行数据隔离。
一言以蔽之：多租户的关键就是同一套应用程序下实现多用户组织的数据隔离。