Associare o aggiungere una sottoscrizione di Azure al tenant di Microsoft Entra

Tutte le sottoscrizioni di Azure hanno una relazione di trust con un tenant di Microsoft Entra. Le sottoscrizioni si basano su questo tenant (directory) per autenticare e autorizzare entità di sicurezza e dispositivi. Quando una sottoscrizione scade, l'istanza attendibile rimane, ma le entità di sicurezza perdono l'accesso alle risorse di Azure. Le sottoscrizioni possono considerare attendibile una singola directory mentre un tenant di Microsoft Entra può essere considerato attendibile da più sottoscrizioni.

Quando un utente effettua l'iscrizione a un servizio cloud Microsoft, viene creato un nuovo tenant di Microsoft Entra e l'utente viene creato un Amministrazione istrator globale. Tuttavia, quando un proprietario di una sottoscrizione aggiunge la sottoscrizione a un tenant esistente, il proprietario non viene assegnato al ruolo Amministratore globale.

Anche se gli utenti possono avere una singola home directory di autenticazione, gli utenti possono partecipare come guest in più directory. È possibile visualizzare sia la home directory che la directory guest per ogni utente in Microsoft Entra ID.

Screenshot che mostra la relazione di trust tra le sottoscrizioni di Azure e le directory di Microsoft Entra.

Importante

Quando una sottoscrizione è associata a una directory diversa, gli utenti con ruoli assegnati tramite il controllo degli accessi in base al ruolo di Azure perdono l'accesso. Anche gli amministratori delle sottoscrizioni classiche, tra cui l'amministratore del servizio e i coamministratori, perdono l'accesso.

Lo spostamento del cluster del servizio Azure Kubernetes (AKS) in una sottoscrizione diversa o lo spostamento della sottoscrizione proprietaria del cluster in un nuovo tenant causa la perdita della funzionalità del cluster a causa di assegnazioni di ruolo e diritti dell'entità servizio persi. Per altre informazioni sul servizio Azure Kubernetes, vedere Servizio Azure Kubernetes.

Prerequisiti

Prima di poter associare o aggiungere la sottoscrizione, seguire questa procedura:

  • Esaminare l'elenco seguente delle modifiche che si verificheranno dopo l'associazione o l'aggiunta della sottoscrizione e il modo in cui si potrebbe essere interessati:

    • Gli utenti a cui sono stati assegnati ruoli usando il controllo degli accessi in base al ruolo di Azure perderanno l'accesso.
    • L'amministratore del servizio e il coamministratore perderanno l'accesso.
    • Se sono presenti insiemi di credenziali delle chiavi, saranno inaccessibili e sarà necessario correggerli dopo l'associazione.
    • Se sono presenti identità gestite per risorse come macchine virtuali o app per la logica, è necessario riabilitarle o ricrearle dopo l'associazione.
    • Se si dispone di un Azure Stack registrato, sarà necessario registrarlo di nuovo dopo l'associazione.

    Per altre informazioni, vedere Trasferire una sottoscrizione di Azure in una directory di Microsoft Entra diversa.

  • Accedere con un account che:

    • Ha un'assegnazione di ruolo Proprietario per la sottoscrizione. Per informazioni su come assegnare il ruolo Proprietario, vedere Assegnare ruoli di Azure usando il portale di Azure.
    • Esiste sia nella directory corrente che nella nuova directory. La directory corrente è associata alla sottoscrizione. La nuova directory verrà associata alla sottoscrizione. Per altre informazioni su come ottenere l'accesso a un'altra directory, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra B2B nel portale di Azure.
    • Assicurarsi di non usare una sottoscrizione provider di servizi cloud di Azure (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), una sottoscrizione interna Microsoft (MS-AZR-0015P) o una sottoscrizione Microsoft Azure for Students Starter (MS-AZR-0144P).

Associare una sottoscrizione a una directory

Per associare una sottoscrizione esistente all'ID Microsoft Entra, seguire questa procedura:

  1. Accedere al portale di Azure con l'assegnazione di ruolo Proprietario per la sottoscrizione.

  2. Passare a Sottoscrizioni.

  3. Selezionare il nome della sottoscrizione da usare.

  4. Selezionare Cambia directory.

    Screenshot che mostra la pagina Sottoscrizioni con l'opzione Cambia directory evidenziata.

  5. Esaminare eventuali avvisi che vengono visualizzati e selezionare Cambia.

    Screenshot che mostra la pagina Modifica directory con una directory di esempio e il pulsante Cambia evidenziato.

    Quando la directory è stata modificata per la sottoscrizione, viene visualizzato un messaggio di operazione riuscita.

  6. Selezionare Cambia directory nella pagina della sottoscrizione per passare alla nuova directory.

    Screenshot che mostra la pagina cambio directory con informazioni di esempio.

    La visualizzazione corretta di tutti gli elementi può richiedere diverse ore. Se sembra impiegare troppo tempo, controllare il filtro Sottoscrizione globale. Assicurarsi che la sottoscrizione spostata non sia nascosta. Potrebbe essere necessario disconnettersi dal portale di Azure e accedere di nuovo per visualizzare la nuova directory.

    La modifica della directory della sottoscrizione è un'operazione a livello di servizio, pertanto non influisce sulla proprietà della fatturazione della sottoscrizione. Per eliminare la directory originale, è necessario trasferire la proprietà di fatturazione della sottoscrizione a un nuovo amministratore account. Per altre informazioni sul trasferimento della proprietà di fatturazione, vedere Trasferire la proprietà di una sottoscrizione di Azure a un altro account.

Passaggi post-associazione

Dopo aver associato una sottoscrizione a una directory diversa, potrebbe essere necessario eseguire le attività seguenti per riprendere le operazioni:

  1. Se sono presenti insiemi di credenziali delle chiavi, è necessario modificare l'ID tenant dell'insieme di credenziali delle chiavi. Per altre informazioni, vedere Modificare un ID tenant dell'insieme di credenziali delle chiavi dopo lo spostamento di una sottoscrizione.

  2. Se sono state usate identità gestite assegnate dal sistema per le risorse, è necessario riabilitare queste identità. Se sono state usate identità gestite assegnate dall'utente, è necessario ricreare queste identità. Dopo aver riabilitare o ricreato le identità gestite, è necessario ristabilire le autorizzazioni assegnate a tali identità. Per altre informazioni, vedere Cosa sono le identità gestite per le risorse di Azure.

  3. Se si è registrato un'istanza di Azure Stack usando questa sottoscrizione, è necessario eseguire di nuovo la registrazione. Per altre informazioni, vedere Registrare l'hub di Azure Stack con Azure.

  4. Per altre informazioni, vedere Trasferire una sottoscrizione di Azure in una directory di Microsoft Entra diversa.