Bearbeiten

Freigeben über


Zuordnen oder Hinzufügen eines Azure-Abonnements zu Ihrem Microsoft Entra-Mandanten

Alle Azure-Abonnements haben eine Vertrauensbeziehung zu einem Microsoft Entra-Mandanten. Dieser Mandant (also dieses Verzeichnis) authentifiziert und autorisiert Sicherheitsprinzipale und Geräte für Abonnements. Wenn ein Abonnement abläuft, bleibt der vertrauenswürdige Mandant bestehen, aber die Sicherheitsprinzipale verlieren den Zugriff auf Azure-Ressourcen. Abonnements können nur einem einzelnen Verzeichnis vertrauen, während ein Microsoft Entra-Mandant von mehreren Abonnements als vertrauenswürdig eingestuft werden kann.

Wenn sich ein Benutzer oder eine Benutzerin für einen Microsoft-Clouddienst registriert, wird ein neuer Microsoft Entra-Mandant erstellt, und der Benutzer bzw. die Benutzerin wird der Rolle „Globaler Administrator“ hinzugefügt. Wenn ein Besitzer eines Abonnements sein Abonnement jedoch mit einem vorhandenen Mandanten verbindet, wird ihm die Rolle „Globaler Administrator“ nicht zugewiesen.

Während Benutzer ggf. nur über ein einzelnes Authentifizierung-Basisverzeichnis verfügen, können sie als Gäste Teil mehrere Verzeichnisse sein. Ihnen werden sowohl das Basis- als auch das Gastverzeichnis für jeden Benutzer in Microsoft Entra ID angezeigt.

Screenshot der Vertrauensstellung zwischen Azure-Abonnements und Microsoft Entra-Verzeichnissen.

Wichtig

Wenn ein Abonnement einem anderen Verzeichnis zugeordnet wird, verlieren Benutzer, denen Rollen mit der rollenbasierten Zugriffssteuerung von Azure zugewiesen wurden, den Zugriff. Klassische Abonnementadministratoren (Dienstadministrator und Co-Admin) verlieren ebenfalls ihren Zugriff.

Das Verschieben Ihres Azure Kubernetes Service-Clusters (AKS-Clusters) in ein anderes Abonnement oder das Verschieben des Abonnements, das den Cluster besitzt, in einen neuen Mandanten führt dazu, dass der Cluster seine Funktionalität aufgrund des Verlusts von Rollenzuweisungen und Dienstprinzipalrechten verliert. Weitere Informationen zu AKS finden Sie unter Azure Kubernetes Service (AKS).

Voraussetzungen

Bevor Sie Ihr Abonnement zuweisen oder hinzufügen können, müssen Sie die folgenden Aufgaben ausführen:

  • Überprüfen Sie die folgende Liste mit Änderungen, die nach dem Zuordnen oder Hinzufügen Ihres Abonnements vorgenommen werden, und ihre möglichen Folgen für Sie:

    • Benutzer, denen Rollen mithilfe von Azure RBAC zugewiesen wurden, verlieren den Zugriff.
    • Dienstadministrator und Co-Admins verlieren den Zugriff.
    • Wenn Sie über Schlüsseltresore verfügen, kann darauf nicht mehr zugegriffen werden. Sie müssen das Problem nach der Zuordnung beheben.
    • Wenn Sie über verwaltete Identitäten für Ressourcen wie Virtual Machines oder Logic Apps verfügen, müssen Sie diese nach der Zuordnung erneut aktivieren oder erstellen.
    • Wenn Sie Azure Stack registriert haben, müssen Sie es nach der Zuordnung erneut registrieren.

    Weitere Informationen finden Sie unter Übertragen eines Azure-Abonnements in ein anderes Microsoft Entra-Verzeichnis.

  • Melden Sie sich mit einem Konto an, das:

    • Über die Rollenzuweisung Besitzer für das Abonnement verfügt. Informationen zum Zuweisen der Rolle „Besitzer“ finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
    • Ist im aktuellen Verzeichnis und im neuen Verzeichnis vorhanden. Das aktuelle Verzeichnis ist dem Abonnement zugeordnet. Verknüpfen Sie das neue Verzeichnis mit dem Abonnement. Weitere Informationen zum Zugriff auf ein anderes Verzeichnis finden Sie unter Hinzufügen von Microsoft Entra B2B-Zusammenarbeitsbenutzern über das Azure-Portal.
    • Achten Sie darauf, dass Sie kein Azure-Cloud-Dienstanbieter-Abonnement (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), kein internes Microsoft-Abonnement (MS-AZR-0015P) und kein Microsoft Azure for Students Starter-Abonnement (MS-AZR-0144P) verwenden.

Zuordnen eines Abonnements zu einem Verzeichnis

Führen Sie die folgenden Schritte aus, um Ihrer Microsoft Entra ID ein vorhandenes Abonnement zuzuordnen:

  1. Melden Sie sich beim Azure-Portal mit der Rollenzuweisung Besitzer für das Abonnement an.

  2. Navigieren Sie zu Abonnements.

  3. Wählen Sie den Namen des Abonnements aus, das Sie verwenden möchten.

  4. Wählen Sie Verzeichnis ändern aus.

    Screenshot der Seite „Abonnements“ mit hervorgehobener Option „Verzeichnis ändern“.

  5. Überprüfen Sie alle angezeigten Warnungen, und wählen Sie dann Ändern aus.

    Screenshot der Seite „Verzeichnis ändern“ mit einem Beispielverzeichnis und der hervorgehobenen Schaltfläche „Ändern“.

    Nachdem das Verzeichnis für das Abonnement geändert wurde, erhalten Sie eine Erfolgsmeldung.

  6. Wählen Sie auf der Abonnementseite Verzeichnis wechseln aus, um zu Ihrem neuen Verzeichnis zu wechseln.

    Screenshot der Seite „Verzeichnis wechseln“ mit Beispielinformationen.

    Es kann mehrere Stunden dauern, bis alles ordnungsgemäß angezeigt wird. Wenn es zu lange dauert, überprüfen Sie den globalen Abonnementfilter. Stellen Sie sicher, dass das verschobene Abonnement nicht ausgeblendet ist. Möglicherweise müssen Sie sich beim Azure-Portal abmelden und wieder anmelden, damit das neue Verzeichnis angezeigt wird.

    Das Ändern des Abonnementverzeichnisses erfolgt auf Dienstebene, sodass sich der Vorgang nicht auf die Abonnementabrechnung auswirkt. Um das ursprüngliche Verzeichnis zu löschen, müssen Sie die Abonnementabrechnung einem neuen Kontoadministrator übertragen. Weitere Informationen zum Übertragen der Abrechnung finden Sie unter Übertragen des Besitzes eines Azure-Abonnements auf ein anderes Konto.

Schritte nach der Zuordnung

Nachdem Sie ein Abonnement einem anderen Verzeichnis zugeordnet haben, müssen Sie ggf. die folgenden Aufgaben ausführen, um den Betrieb wieder aufzunehmen:

  1. Wenn Sie über Schlüsseltresore verfügen, müssen Sie die Mandanten-ID des Schlüsseltresors ändern. Weitere Informationen finden Sie unter Ändern der Mandanten-ID des Schlüsseltresors nach einer Abonnementverschiebung.

  2. Wenn Sie vom System zugewiesene verwaltete Identitäten für Ressourcen verwendet haben, müssen Sie diese nochmal aktivieren. Wenn Sie vom Benutzer zugewiesene verwaltete Identitäten verwendet haben, müssen Sie diese nochmal erstellen. Nach dem erneuten Aktivieren oder Erstellen der verwalteten Identitäten müssen Sie die Berechtigungen, die diesen Identitäten zugewiesen sind, erneut einrichten. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.

  3. Wenn Sie mit diesem Abonnement eine Azure Stack-Instanz registriert haben, müssen Sie diese nochmal registrieren. Weitere Informationen finden Sie unter Registrieren von Azure Stack Hub in Azure.

  4. Weitere Informationen finden Sie unter Übertragen eines Azure-Abonnements in ein anderes Microsoft Entra-Verzeichnis.