Associar ou adicionar uma assinatura do Azure ao seu locatário do Azure Active Directory

Uma assinatura do Azure possui um relacionamento confiável com instância do Azure Active Directory (Azure AD). Uma assinatura confia no Azure AD para autenticar usuários, serviços e dispositivos.

Várias assinaturas podem confiar no mesmo diretório do AD do Azure. Cada assinatura só pode confiar em um único diretório.

Uma ou mais assinaturas do Azure podem estabelecer uma relação de confiança com uma instância do Azure Active Directory (AD do Azure) para autenticar e autorizar entidades de segurança e dispositivos nos serviços do Azure. Quando uma assinatura expira, a instância confiável do serviço do Azure AD permanece, mas as entidades de segurança perdem o acesso aos recursos do Azure.

Quando um usuário se inscreve em um serviço de nuvem da Microsoft, um novo locatário do Azure AD é criado e o usuário se torna membro da função de Administrador Global. No entanto, quando um proprietário de uma assinatura une sua assinatura a um locatário existente, o proprietário não é atribuído à função de Administrador Global.

Todos os seus usuários têm um único diretório home para autenticação. Seus usuários também podem ser convidados em outros diretórios. Você pode ver os diretórios inicial e convidado de cada usuário no Azure AD.

Captura de tela que mostra a relação de confiança entre as assinaturas do Azure e os diretórios ativos do Azure.

Importante

Quando você associa uma assinatura com um diretório diferente, os usuários que têm funções atribuídas usando o controle de acesso baseado em função so Azure perdem o acesso. Os administradores de assinatura clássicos, incluindo o Administrador de Serviços e os Coadministradores, também perdem o acesso.

Mover o cluster AKS (Serviço Kubernetes do Azure) para uma assinatura diferente ou mover a assinatura proprietária do cluster para um novo locatário faz com que o cluster perca a funcionalidade devido a atribuições de função perdidas e direitos da entidade de serviço. Para obter mais informações sobre o AKS, confira AKS (Serviço de Kubernetes do Azure).

Antes de começar

Antes de associar ou adicionar sua assinatura, faça as seguintes tarefas:

  • Examine a seguinte lista de alterações que ocorrerão depois que você associar ou adicionar sua assinatura e como você pode ser afetado:

    • Os usuários aos quais foram atribuídas funções usando o RBAC do Azure perderão seu acesso.
    • Administrador de Serviços e Coadministradores perderão o acesso;.
    • Se você tiver cofres de chaves, eles ficarão inacessíveis e você precisará corrigi-los após a associação.
    • Se você tiver identidades gerenciadas para recursos como máquinas virtuais ou aplicativos lógicos, será necessário reabilitá-los ou recriá-los após a associação.
    • Se você tiver um Azure Stack registrado, será necessário registrá-lo novamente após a associação.
    • Para obter mais informações, confira Transferir uma assinatura do Azure para um diretório diferente do Azure AD.
  • Entre usando uma conta que:

  • Verifique se você não está usando uma assinatura de Provedor de Serviços de Nuvem do Azure (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), uma assinatura Interna da Microsoft (MS-AZR-0015P) ou Assinatura do Microsoft Azure for Students Starter (MS-AZR-0144P).

Associar uma assinatura a um diretório

Para associar uma assinatura existente ao seu diretório do Azure AD, siga os seguintes passos:

  1. Faça login e selecione a assinatura que você deseja usar na página Inscrições no portal do Azure.

  2. Selecione altere o diretório.

    Captura de tela que mostra a página assinaturas, com a opção Alterar diretório realçada.

  3. Revise todos os avisos exibidos e, em seguida, selecione Alterar.

    Captura de tela que mostra a página alterar o diretório com um diretório de exemplo e o botão Alterar realçado.

    Após o diretório ser alterado para a assinatura, você receberá uma mensagem de êxito.

  4. Selecione alternar diretórios na página de assinatura para ir para o novo diretório.

    Captura de tela que mostra a página de seletor de Diretório com informações de exemplo.

    Pode levar várias horas para que tudo seja exibido corretamente. Se parecer que está demorando muito, verifique o Filtro de assinatura global. Verifique se a assinatura movida não está oculta. Talvez seja necessário sair do portal do Azure e entrar novamente para ver o novo diretório.

A alteração do diretório de assinatura é uma operação no nível do serviço, portanto, não afeta a propriedade do faturamento da assinatura. Para excluir o diretório original, você deve transferir a propriedade de cobrança da assinatura para um novo administrador da conta. Para saber mais sobre como transferir a propriedade de cobrança, consulte Transferir a propriedade de uma assinatura do Azure para outra conta.

Etapas pós-Associação

Depois de associar uma assinatura a um diretório diferente, talvez seja necessário realizar as seguintes tarefas para retomar as operações:

Próximas etapas