Kojarzenie lub dodawanie subskrypcji platformy Azure do dzierżawy Microsoft Entra

Wszystkie subskrypcje platformy Azure mają relację zaufania z dzierżawą Microsoft Entra. Subskrypcje polegają na tej dzierżawie (katalogu) w celu uwierzytelniania i autoryzacji podmiotów zabezpieczeń i urządzeń. Po wygaśnięciu subskrypcji zaufane wystąpienie pozostanie, ale podmioty zabezpieczeń utracą dostęp do zasobów platformy Azure. Subskrypcje mogą ufać tylko jednemu katalogowi, podczas gdy jedna dzierżawa Microsoft Entra może być zaufana przez wiele subskrypcji.

Gdy użytkownik zarejestruje się w usłudze w chmurze firmy Microsoft, zostanie utworzona nowa dzierżawa Microsoft Entra, a użytkownik zostanie administratorem globalnym. Jednak gdy właściciel subskrypcji dołącza swoją subskrypcję do istniejącej dzierżawy, właściciel nie jest przypisywany do roli Administrator globalny.

Chociaż użytkownicy mogą mieć tylko jeden katalog główny uwierzytelniania, użytkownicy mogą uczestniczyć jako goście w wielu katalogach. Katalogi główne i katalogi gości są widoczne dla każdego użytkownika w identyfikatorze Microsoft Entra.

Ważne

Gdy subskrypcja jest skojarzona z innym katalogiem, użytkownicy, którzy mają przypisane role przy użyciu kontroli dostępu opartej na rolach platformy Azure , utracą dostęp. Klasyczni administratorzy subskrypcji, w tym administrator usługi i współadministratorzy, również utracą dostęp.

Przeniesienie klastra usługi Azure Kubernetes Service (AKS) do innej subskrypcji lub przeniesienie subskrypcji, do której należy klaster, do nowej dzierżawy powoduje utratę funkcjonalności klastra z powodu utraconych przypisań ról i uprawnień jednostki usługi. Aby uzyskać więcej informacji na temat usługi AKS, zobacz Azure Kubernetes Service (AKS).

Zanim rozpoczniesz

Przed skojarzeniem lub dodaniem subskrypcji wykonaj następujące czynności:

• Przejrzyj następującą listę zmian, które wystąpią po skojarzeniu lub dodaniu subskrypcji, oraz ich konsekwencje:

  • Użytkownicy, którym przypisano role przy użyciu kontroli dostępu na podstawie ról platformy Azure, utracą dostęp.
  • Administrator usługi oraz współadministratorzy utracą dostęp.
  • Jeśli masz jakieś magazyny kluczy, będą one niedostępne i trzeba będzie je naprawić po skojarzeniu.
  • Jeśli masz jakiekolwiek tożsamości zarządzane dla zasobów, takich jak Virtual Machines lub Logic Apps, po skojarzeniu musisz je ponownie włączyć lub utworzyć.
  • Jeśli masz zarejestrowaną usługę Azure Stack, po skojarzeniu konieczne będzie jej ponowne zarejestrowanie.

  Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji platformy Azure do innego katalogu Microsoft Entra.

• Zaloguj się przy użyciu konta, które:

  • Ma przypisanie roli Właściciel dla subskrypcji. Aby uzyskać informacje na temat przypisywania roli Właściciel, zobacz Przypisywanie ról platformy Azure przy użyciu Azure Portal.
  • Istnieje zarówno w bieżącym, jak i w nowym katalogu. Bieżący katalog jest skojarzony z subskrypcją. Nowy katalog zostanie skojarzony z subskrypcją. Aby uzyskać więcej informacji na temat uzyskiwania dostępu do innego katalogu, zobacz Dodawanie użytkowników współpracy Microsoft Entra B2B w Azure Portal.
  • Upewnij się, że nie używasz subskrypcji dostawców usług w chmurze (CSP) platformy Azure (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), subskrypcji wewnętrznej firmy Microsoft (MS-AZR-0015P) ani subskrypcji Microsoft Azure for Students Starter (MS-AZR-0144P).

Kojarzenie subskrypcji z katalogiem

Aby skojarzyć istniejącą subskrypcję z identyfikatorem Microsoft Entra, wykonaj następujące kroki:

1. Zaloguj się do Azure Portal przy użyciu przypisania roli Właściciel dla subskrypcji.

2. Przejdź do obszaru Subskrypcje.

3. Wybierz nazwę subskrypcji, której chcesz użyć.

4. Wybierz opcję Zmień katalog.

   

5. Przejrzyj wszelkie wyświetlane ostrzeżenia, a następnie wybierz pozycję Zmień.

   

   Po zmianie katalogu dla subskrypcji otrzymasz komunikat o powodzeniu.

6. Na stronie subskrypcji wybierz pozycję Przełącz katalogi, aby przejść do nowego katalogu.

   

   Może upłynąć kilka godzin, zanim wszystkie dane zostaną prawidłowo wyświetlone. Jeśli wydaje się, że trwa to zbyt długo, sprawdź filtr Subskrypcji globalnej. Upewnij się, że przeniesiona subskrypcja nie jest ukryta. Aby wyświetlić nowy katalog, może być konieczne wylogowanie się z witryny Azure Portal i ponowne zalogowanie się.

Zmiana katalogu subskrypcji jest operacją na poziomie usługi, więc nie ma wpływu na własność rozliczeń subskrypcji. Aby usunąć oryginalny katalog, należy przenieść własność rozliczeń subskrypcji na nowego administratora konta. Aby dowiedzieć się więcej na temat przenoszenia własności rozliczeń, zobacz Przenoszenie własności subskrypcji platformy Azure na inne konto.

Kroki do wykonania po skojarzeniu

Po skojarzeniu subskrypcji z innym katalogiem może być konieczne wykonanie następujących zadań w celu wznowienia operacji:

• Jeśli masz jakiekolwiek magazyny kluczy, musisz zmienić identyfikator dzierżawy magazynu kluczy. Aby uzyskać więcej informacji, zobacz Zmienianie identyfikatora dzierżawy magazynu kluczy po przeniesieniu subskrypcji.

• Jeśli użyto tożsamości zarządzanych przypisanych przez system dla zasobów, należy ponownie włączyć te tożsamości. Jeśli użyto tożsamości zarządzanych przypisanych przez użytkownika, musisz ponownie utworzyć te tożsamości. Po ponownym włączeniu lub ponownym utworzeniu tożsamości zarządzanych należy ponownie ustanowić uprawnienia przypisane do tych tożsamości. Aby uzyskać więcej informacji, zobacz Czym są tożsamości zarządzane dla zasobów platformy Azure?.

• Jeśli zarejestrowano usługę Azure Stack przy użyciu tej subskrypcji, musisz ponownie zarejestrować się. Aby uzyskać więcej informacji, zobacz Rejestrowanie usługi Azure Stack Hub za pomocą platformy Azure.

• Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji platformy Azure do innego katalogu Microsoft Entra.

Następne kroki

• Aby utworzyć nową dzierżawę Microsoft Entra, zobacz Szybki start: tworzenie nowej dzierżawy w identyfikatorze Microsoft Entra.

• Aby dowiedzieć się więcej o sposobie kontroli dostępu do zasobów przez platformę Microsoft Azure, zobacz Role platformy Azure, role Microsoft Entra i klasyczne role administratora subskrypcji.

• Aby dowiedzieć się więcej na temat przypisywania ról w identyfikatorze Microsoft Entra, zobacz Przypisywanie ról administratora i nieadministratora do użytkowników przy użyciu identyfikatora Microsoft Entra.