Asociación o incorporación de una suscripción de Azure al inquilino de Azure Active Directory

Una suscripción de Azure tiene una relación de confianza con Azure Active Directory (Azure AD). Una suscripción confía en Azure AD para autenticar usuarios, servicios y dispositivos.

Varias suscripciones pueden confiar en el mismo directorio de Azure AD. Cada suscripción solo puede confiar en un único directorio.

Una o varias suscripciones de Azure pueden establecer una relación de confianza con una instancia de Azure Active Directory (Azure AD) para autenticar y autorizar las entidades de seguridad y los dispositivos en los servicios de Azure. Cuando expira una suscripción, la instancia de confianza del servicio Azure AD se conserva, pero las entidades de seguridad pierden el acceso a los recursos de Azure.

Cuando un usuario se suscribe a un servicio en la nube de Microsoft, se crea un nuevo inquilino de Azure AD y el usuario se convierte en miembro del rol de administrador global. Sin embargo, cuando un propietario de una suscripción une su suscripción a un inquilino existente, el propietario no se asigna al rol de administrador global.

Todos los usuarios tienen un único directorio particular para la autenticación. Los usuarios también pueden ser invitados en otros directorios. Puede ver los directorios principales e invitados para cada usuario en Azure AD.

Captura de pantalla en la que se muestra la relación de confianza entre las suscripciones de Azure y los directorios activos de Azure.

Importante

Al asociar una suscripción a otro directorio, los usuarios que tienen roles asignados mediante el control de acceso basado en rol de Azure pierden el acceso. Los administradores de suscripciones clásicas, incluidos el administrador y los coadministradores del servicio, también pierden el acceso.

El traslado del clúster de Azure Kubernetes Service (AKS) a otra suscripción o el traslado de la suscripción propietaria del clúster a un nuevo inquilino, provoca que el clúster pierda funcionalidad debido a la pérdida de asignaciones de roles y derechos de las entidades de servicio. Para obtener más información sobre AKS, consulte Azure Kubernetes Service (AKS).

Antes de empezar

Antes de poder asociar o agregar la suscripción, realice las siguientes tareas:

  • Revise la siguiente lista de cambios que se producirán después de asociar o agregar su suscripción e infórmese sobre cómo podría verse afectado:

    • Los usuarios a los que se haya asignado roles mediante Azure RBAC perderán el acceso.
    • Tanto el administrador como los coadministradores del servicio perderán el acceso.
    • Si tiene almacenes de claves, no podrá acceder a ellos y tendrá que repararlos después de la asociación.
    • Si tiene identidades administradas para recursos, como Virtual Machines o Logic Apps, debe volver a habilitarlas o a crearlas después de la asociación.
    • Si tiene una instancia de Azure Stack registrada, tendrá que volver a registrarla después de la asociación.
    • Para más información, consulte Transferencia de una suscripción de Azure a otro directorio de Azure AD.
  • Iniciar sesión con una cuenta que:

  • Asegúrese de que no usa una suscripción de proveedores de servicios en la nube de Azure (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), una suscripción interna de Microsoft (MS-AZR-0015P) ni una suscripción a Microsoft Azure for Students Starter (MS-AZR-0144P).

Asociación de una suscripción a un directorio

Para asociar una suscripción existente al directorio de Azure AD, siga estos pasos:

  1. Inicie sesión y seleccione la suscripción que quiere usar en la Página de suscripciones de Azure Portal.

  2. Seleccione Cambiar directorio.

    Captura de pantalla que muestra la página Suscripciones, con la opción Cambiar directorio resaltada.

  3. Revise las advertencias que aparecen y, a continuación, seleccione Cambiar.

    Captura de pantalla que muestra la página Cambiar el directorio con un directorio de ejemplo y el botón Cambiar resaltado.

    Una vez que se cambie el directorio para la suscripción, recibirá un mensaje de confirmación.

  4. Seleccione Cambiar directorios en la página suscripción para ir al nuevo directorio.

    Captura de pantalla que muestra la página del conmutador de directorio con información de ejemplo.

    Puede tardar varias horas hasta que todo se muestre correctamente. Si parece que tarda demasiado tiempo, compruebe el filtro de suscripción global. Asegúrese de que la suscripción que se ha trasladado no esté oculta. Es posible que tenga que cerrar la sesión de Azure Portal y volver a iniciarla para ver el directorio nuevo.

Cambiar el directorio de suscripción es una operación de nivel de servicio, por lo que no afecta a la propiedad de facturación de suscripción. Para eliminar el directorio original, debe transferir la propiedad de facturación de suscripción a un nuevo administrador de cuenta. Para más información acerca de cómo transferir la propiedad de facturación, vea Transferencia de la propiedad de una suscripción de Azure a otra cuenta.

Pasos posteriores a la asociación

Después de asociar una suscripción a un directorio diferente, puede que tenga que realizar las siguientes tareas para reanudar las operaciones:

Pasos siguientes