Associez ou ajoutez un abonnement Azure à votre locataire Microsoft Entra

  • Article

Tous les abonnements Azure ont une relation d'approbation avec un locataire Microsoft Entra. Les souscriptions s'appuient sur ce locataire (répertoire) pour authentifier et autoriser les entités et les appareils de sécurité. Lorsqu’un abonnement expire, l’instance approuvée demeure, mais les entités de sécurité perdent l’accès aux ressources Azure. Les abonnements ne peuvent approuver qu’un seul répertoire, tandis qu’un seul tenant Microsoft Entra peut être approuvé par plusieurs abonnements.

Lorsqu’un utilisateur s’inscrit à un service Microsoft Cloud, un nouveau tenant Microsoft Entra est créé et l’utilisateur devient Administrateur global. Toutefois, lorsqu’un propriétaire d’un abonnement joint son abonnement à un locataire existant, le propriétaire n’est pas affecté au rôle Administrateur général.

Alors que les utilisateurs ne peuvent avoir qu’un seul répertoire d’accueil d’authentification, les utilisateurs peuvent participer en tant qu’invités dans plusieurs répertoires. Vous pouvez voir les répertoires d'accueil et d'invité de chaque utilisateur dans Microsoft Entra ID.

Capture d’écran montrant la relation de confiance entre les abonnements Azure et les répertoires Microsoft Entra.

Important

Quand un abonnement est associé à un autre répertoire, les utilisateurs auxquels des rôles ont été attribués avec le Contrôle d’accès en fonction du rôle (RBAC) perdent leur accès. Les administrateurs d’abonnements classiques, entre autres les administrateurs de services et les coadministrateurs perdent également leur accès.

Le déplacement de votre cluster Azure Kubernetes Service (AKS) vers un autre abonnement, ou le déplacement de l’abonnement propriétaire du cluster vers un nouveau locataire, amène le cluster à perdre sa fonctionnalité en raison de la perte des attributions de rôles et des droits de principaux de service. Pour plus d’information sur AKS, consultez Azure Kubernetes Service (AKS).

Avant de commencer

Avant de pouvoir associer ou ajouter votre abonnement, effectuez les étapes suivantes :

  • Passez en revue la liste suivante des modifications qui se produiront après que vous ayez associé ou ajouté votre abonnement, et la façon dont cela peut vous affecter :

    • Les utilisateurs auxquels des rôles ont été attribués à l’aide d’Azure RBAC perdront leur accès.
    • L’administrateur de services fédérés et le coadministrateur perdront leur accès.
    • Si vous avez des coffres de clés, ces derniers seront inaccessibles et vous devrez les corriger après l’association.
    • Si vous disposez d’identités managées pour des ressources telles que Machines Virtuelles ou Logic Apps, vous devez les réactiver ou les recréer après l’association.
    • Si vous disposez d’une instance Azure Stack inscrite, vous devrez la réinscrire après l’association.

    Pour plus d’informations, consultez Transférer un abonnement Azure vers un autre répertoire Microsoft Entra.

  • Connectez-vous avec un compte qui :

    • Dispose d’une attribution de rôle Propriétaire pour l’abonnement. Pour obtenir des informations sur la procédure d’attribution de rôles propriétaire, consultez Attribuer des rôles Azure à l’aide du portail Azure.
    • Existe à la fois dans l’annuaire actif et dans le nouvel annuaire. L’annuaire actif est associé à l’abonnement. Vous associerez le nouvel annuaire à l’abonnement. Pour plus d'informations sur l'accès à un autre annuaire, consultez Ajouter des utilisateurs de collaboration Microsoft Entra B2B dans le portail Azure.
    • Veillez à ne pas utiliser d’abonnement de fournisseur de services cloud (CSP) Azure (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), Microsoft interne (MS-AZR-0015P) ou Microsoft Azure for Students Starter (MS-AZR-0144P).

Associer un abonnement à un annuaire

Pour associer un abonnement existant à votre identifiant Microsoft Entra, procédez comme suit :

  1. Connectez-vous au portail Azure avec l’attribution du rôle Propriétaire pour l’abonnement.

  2. Accédez à Souscriptions.

  3. Sélectionnez le nom de l'abonnement que vous souhaitez utiliser.

  4. Sélectionnez Changer de répertoire.

    Capture d’écran qui montre la page Abonnements, avec l’option Modifier le répertoire mis en surbrillance.

  5. Examinez les avertissements qui s’affichent, puis sélectionnez Changer.

    Capture d’écran qui montre la page Modifier le répertoire avec un exemple de répertoire et le bouton Modifier mis en surbrillance.

    Une fois le répertoire modifié pour l’abonnement, un message de réussite s’affiche.

  6. Sélectionnez Changer les annuaires sur la page de l’abonnement pour accéder à votre nouvel annuaire.

    Capture d’écran montrant la page Sélecteur de répertoire avec des informations d’exemple.

    Dans certains cas, l’affichage correct dans son intégralité peut prendre plusieurs heures. S’il semble trop long, vérifiez le Filtre d’abonnement global. Assurez-vous que l’abonnement déplacé n’est pas masqué. Il est possible que vous deviez vous déconnecter du Portail Azure et vous reconnecter pour que le nouveau répertoire soit visible.

La modification du répertoire de l’abonnement est une opération de niveau de service. Elle n’affecte donc pas la propriété de facturation de l’abonnement. Pour supprimer le répertoire d’origine, vous devez transférer la propriété de facturation de l’abonnement à un nouvel administrateur du compte. Pour en savoir plus sur le transfert de la propriété de facturation, consultez Transfert de la propriété d’un abonnement Azure à un autre compte.

Étapes postérieures à l’association

Après avoir associé un abonnement à un autre annuaire, vous pouvez être amené à effectuer les tâches suivantes pour reprendre le cours des opérations :

Étapes suivantes