Associez ou ajoutez un abonnement Azure à votre locataire Microsoft Entra
Tous les abonnements Azure ont une relation d'approbation avec un locataire Microsoft Entra. Les souscriptions s'appuient sur ce locataire (répertoire) pour authentifier et autoriser les entités et les appareils de sécurité. Lorsqu’un abonnement expire, l’instance approuvée demeure, mais les entités de sécurité perdent l’accès aux ressources Azure. Les abonnements ne peuvent approuver qu’un seul répertoire, tandis qu’un seul tenant Microsoft Entra peut être approuvé par plusieurs abonnements.
Lorsqu’un utilisateur s’inscrit à un service Microsoft Cloud, un nouveau tenant Microsoft Entra est créé et l’utilisateur devient Administrateur global. Toutefois, lorsqu’un propriétaire d’un abonnement joint son abonnement à un locataire existant, le propriétaire n’est pas affecté au rôle Administrateur général.
Alors que les utilisateurs ne peuvent avoir qu’un seul répertoire d’accueil d’authentification, les utilisateurs peuvent participer en tant qu’invités dans plusieurs répertoires. Vous pouvez voir les répertoires d'accueil et d'invité de chaque utilisateur dans Microsoft Entra ID.
Important
Quand un abonnement est associé à un autre répertoire, les utilisateurs auxquels des rôles ont été attribués avec le Contrôle d’accès en fonction du rôle (RBAC) perdent leur accès. Les administrateurs d’abonnements classiques, entre autres les administrateurs de services et les coadministrateurs perdent également leur accès.
Le déplacement de votre cluster Azure Kubernetes Service (AKS) vers un autre abonnement, ou le déplacement de l’abonnement propriétaire du cluster vers un nouveau locataire, amène le cluster à perdre sa fonctionnalité en raison de la perte des attributions de rôles et des droits de principaux de service. Pour plus d’information sur AKS, consultez Azure Kubernetes Service (AKS).
Avant de commencer
Avant de pouvoir associer ou ajouter votre abonnement, effectuez les étapes suivantes :
Passez en revue la liste suivante des modifications qui se produiront après que vous ayez associé ou ajouté votre abonnement, et la façon dont cela peut vous affecter :
- Les utilisateurs auxquels des rôles ont été attribués à l’aide d’Azure RBAC perdront leur accès.
- L’administrateur de services fédérés et le coadministrateur perdront leur accès.
- Si vous avez des coffres de clés, ces derniers seront inaccessibles et vous devrez les corriger après l’association.
- Si vous disposez d’identités managées pour des ressources telles que Machines Virtuelles ou Logic Apps, vous devez les réactiver ou les recréer après l’association.
- Si vous disposez d’une instance Azure Stack inscrite, vous devrez la réinscrire après l’association.
Pour plus d’informations, consultez Transférer un abonnement Azure vers un autre répertoire Microsoft Entra.
Connectez-vous avec un compte qui :
- Dispose d’une attribution de rôle Propriétaire pour l’abonnement. Pour obtenir des informations sur la procédure d’attribution de rôles propriétaire, consultez Attribuer des rôles Azure à l’aide du portail Azure.
- Existe à la fois dans l’annuaire actif et dans le nouvel annuaire. L’annuaire actif est associé à l’abonnement. Vous associerez le nouvel annuaire à l’abonnement. Pour plus d'informations sur l'accès à un autre annuaire, consultez Ajouter des utilisateurs de collaboration Microsoft Entra B2B dans le portail Azure.
- Veillez à ne pas utiliser d’abonnement de fournisseur de services cloud (CSP) Azure (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), Microsoft interne (MS-AZR-0015P) ou Microsoft Azure for Students Starter (MS-AZR-0144P).
Associer un abonnement à un annuaire
Pour associer un abonnement existant à votre identifiant Microsoft Entra, procédez comme suit :
Connectez-vous au portail Azure avec l’attribution du rôle Propriétaire pour l’abonnement.
Accédez à Souscriptions.
Sélectionnez le nom de l'abonnement que vous souhaitez utiliser.
Sélectionnez Changer de répertoire.
Examinez les avertissements qui s’affichent, puis sélectionnez Changer.
Une fois le répertoire modifié pour l’abonnement, un message de réussite s’affiche.
Sélectionnez Changer les annuaires sur la page de l’abonnement pour accéder à votre nouvel annuaire.
Dans certains cas, l’affichage correct dans son intégralité peut prendre plusieurs heures. S’il semble trop long, vérifiez le Filtre d’abonnement global. Assurez-vous que l’abonnement déplacé n’est pas masqué. Il est possible que vous deviez vous déconnecter du Portail Azure et vous reconnecter pour que le nouveau répertoire soit visible.
La modification du répertoire de l’abonnement est une opération de niveau de service. Elle n’affecte donc pas la propriété de facturation de l’abonnement. Pour supprimer le répertoire d’origine, vous devez transférer la propriété de facturation de l’abonnement à un nouvel administrateur du compte. Pour en savoir plus sur le transfert de la propriété de facturation, consultez Transfert de la propriété d’un abonnement Azure à un autre compte.
Étapes postérieures à l’association
Après avoir associé un abonnement à un autre annuaire, vous pouvez être amené à effectuer les tâches suivantes pour reprendre le cours des opérations :
Si vous avez des coffres de clés, vous devez modifier l’ID de tenant des coffres de clés. Pour obtenir plus d’informations, consultez Modifier l’ID client d’un coffre de clés Azure Key Vault après un déplacement d’abonnement.
Si vous utilisiez des identités managées attribuées par le système pour les ressources, vous devez réactiver ces identités. Si vous utilisiez des identités managées affectées par l’utilisateur pour les ressources, vous devez réactiver ces identités. Après la réactivation ou la recréation des identités managées, vous devez rétablir les autorisations attribuées à ces identités. Pour plus d’informations, consultez Que sont les identités managées pour les ressources Azure ?.
Si vous avez inscrit une instance Azure Stack en utilisant cet abonnement, vous devez procéder à une réinscription. Pour plus d’informations, consultez Enregistrez Azure Stack Hub avec Azure.
Pour plus d’informations, consultez Transférer un abonnement Azure vers un autre répertoire Microsoft Entra.
Étapes suivantes
Pour créer un nouveau locataire Microsoft Entra, consultez Démarrage rapide : Créer un nouveau locataire dans Microsoft Entra ID.
Pour en savoir plus sur la manière dont Microsoft Azure contrôle l'accès aux ressources, consultez Rôles Azure, Rôles Microsoft Entra et Rôles d'administrateur d'abonnement classique.
Pour en savoir plus sur la façon d'attribuer des rôles dans Microsoft Entra ID, consultez Attribuer des rôles d'administrateur et de non-administrateur aux utilisateurs avec Microsoft Entra ID.