Связывание или добавление подписки Azure в клиент Microsoft Entra

Все подписки Azure имеют отношение доверия с клиентом Microsoft Entra. Подписки используют этот клиент (каталог) для проверки подлинности и авторизации субъектов безопасности и устройств. После истечения срока действия подписки доверенный экземпляр остается, но субъекты безопасности теряют доступ к ресурсам Azure. Подписки могут доверять только одному каталогу, а один клиент Microsoft Entra может быть доверенным несколькими подписками.

По умолчанию пользователю, создающему клиент Microsoft Entra, автоматически назначается роль глобального администратора . Однако, когда владелец подписки присоединяется к существующему клиенту, владелец не назначается роли глобального администратора.

Хотя у пользователей может быть только один домашний каталог проверки подлинности, пользователи могут участвовать в качестве гостей в нескольких каталогах. Вы можете просматривать как домашние, так и гостевые каталоги для каждого пользователя в идентификаторе Microsoft Entra.

Это важно

Если подписка связана с другим каталогом, пользователи, которым назначены роли с помощью управления доступом на основе ролей Azure , теряют свой доступ. Администраторы классических подписок, включая администратора службы и соадминистратора, также теряют доступ.

Перемещение кластера Службы Azure Kubernetes (AKS) в другую подписку или перемещение подписки на кластер в новый клиент приводит к потере функциональности кластера из-за потери назначений ролей и прав субъекта-службы. Дополнительные сведения об AKS см. в статье Azure Kubernetes Service (AKS).

Предпосылки

Прежде чем связать или добавить подписку, сделайте следующее:

• Ознакомьтесь со следующим списком изменений, которые будут возникать после связывания или добавления подписки, а также о том, как это может повлиять:

  • Пользователи, назначенные ролям с помощью Azure RBAC, теряют доступ.
  • Администратор службы и Co-Administrators потеряют доступ.
  • Если у вас есть хранилища ключей, они будут недоступны, и вам придется исправить их после сопоставления.
  • Если у вас есть управляемые удостоверения для таких ресурсов, как виртуальные машины или Logic Apps, необходимо повторно включить или повторно создать их после сопоставления.
  • Если у вас есть зарегистрированный Azure Stack, вам придется повторно зарегистрировать его после сопоставления.

  Дополнительные сведения см. в статье "Передача подписки Azure в другой каталог Microsoft Entra".

• Войдите с помощью учетной записи, которая:

  • Имеет назначение роли владельца для подписки. Сведения о назначении роли владельца см. в статье "Назначение ролей Azure" с помощью портала Azure.
  • Существует как в текущем каталоге, так и в новом каталоге. Текущий каталог связан с подпиской. Вы связываете новый каталог с подпиской. Дополнительные сведения о получении доступа к другому каталогу см. в статье "Добавление пользователей совместной работы Microsoft Entra B2B" на портале Azure.
  • Убедитесь, что вы не используете подписку поставщиков облачных служб Azure (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), внутреннюю подписку Майкрософт (MS-AZR-0015P) или подписку Microsoft Azure для учащихся starter (MS-AZR-0144P).

Связывание подписки с каталогом

Чтобы связать существующую подписку с идентификатором Microsoft Entra, выполните следующие действия.

1. Войдите на портал Azure с помощью назначения роли владельца для подписки.

2. Перейдите к подпискам.

3. Выберите имя подписки, которую вы хотите использовать.

4. Выберите "Изменить каталог".

5. Просмотрите все предупреждения, которые отображаются, а затем нажмите кнопку "Изменить".

После изменения каталога для подписки вы получите сообщение об успешном выполнении.

6. Выберите "Переключить каталоги " на странице подписки, чтобы перейти к новому каталогу.

Это может занять несколько часов, чтобы все отображалось правильно. Если кажется, что это занимает слишком много времени, проверьте фильтр глобальной подписки. Убедитесь, что перемещаемая подписка не скрыта. Чтобы увидеть новый каталог, может потребоваться выйти из портала Azure и войти в систему.

Изменение каталога подписки — это операция уровня обслуживания, поэтому она не влияет на владение выставлением счетов за подписку. Чтобы удалить исходный каталог, необходимо передать право владения выставлением счетов подписки новому администратору учетной записи. Дополнительные сведения о передаче владения выставлением счетов см. в статье "Передача владения подпиской Azure на другую учетную запись".

Этапы после связи

После связывания подписки с другим каталогом может потребоваться выполнить следующие задачи, чтобы возобновить операции:

1. Если у вас есть хранилища ключей, необходимо изменить идентификатор клиента хранилища ключей. Дополнительные сведения см. в разделе "Изменение идентификатора клиента хранилища ключей" после перемещения подписки.

2. При использовании управляемых удостоверений, назначенных системой для ресурсов, необходимо повторно включить эти удостоверения. Если вы использовали управляемые удостоверения, назначаемые пользователем, необходимо повторно создать эти удостоверения. После повторного включения или повторного создания управляемых удостоверений необходимо повторно установить разрешения, назначенные этим удостоверениям. Дополнительные сведения см. в статье "Что такое управляемые удостоверения для ресурсов Azure?".

3. Если вы зарегистрировали Azure Stack с помощью этой подписки, необходимо повторно зарегистрировать. Дополнительные сведения см. в статье "Регистрация Azure Stack Hub в Azure".

4. Дополнительные сведения см. в статье "Передача подписки Azure в другой каталог Microsoft Entra".

Связанный контент

• Создание нового клиента в идентификаторе Microsoft Entra
• Роли Azure, роли Microsoft Entra и роли администратора классической подписки
• Назначение ролей администратора и неадминистратора пользователям с идентификатором Microsoft Entra