Изменить

Share via

Связывание или добавление подписки Azure в клиент Microsoft Entra

  • Практическое руководство

Все подписки Azure имеют отношение доверия с клиентом Microsoft Entra. Подписки используют этот клиент (каталог) для проверки подлинности и авторизации субъектов безопасности и устройств. После истечения срока действия подписки доверенный экземпляр остается, но субъекты безопасности теряют доступ к ресурсам Azure. Подписки могут доверять только одному каталогу, а один клиент Microsoft Entra может быть доверенным несколькими подписками.

Когда пользователь регистрируется в облачной службе Майкрософт, создается новый клиент Microsoft Entra, и пользователь создается глобальный Администратор istrator. Однако если владелец подписки присоединяет свою подписку к имеющемуся клиенту, владелец не назначается роли глобального администратора.

Хотя у пользователей может быть только один домашний каталог проверки подлинности, пользователи могут участвовать в качестве гостей в нескольких каталогах. Домашний и гостевые каталоги для каждого пользователя отображаются в идентификаторе Microsoft Entra.

Снимок экрана: отношение доверия между подписками Azure и каталогами Microsoft Entra.

Внимание

Если подписка связана с другим каталогом, пользователи, которым назначены роли с помощью управления доступом на основе ролей Azure, теряют свой доступ. Администраторы классической подписки, включая администратора служб и соадминистраторов, также теряют доступ.

Перемещение кластера Службы Azure Kubernetes (AKS) в другую подписку или перемещение подписки владения кластером в новый клиент приводит к потере функциональности кластера из-за потери назначений ролей и прав субъекта-службы. Дополнительные сведения об AKS см. в статье Служба Azure Kubernetes (AKS).

Необходимые компоненты

Прежде чем связать или добавить подписку, сделайте следующее:

  • Ознакомьтесь с приведенным ниже списком изменений, которые произойдут после связывания или добавления подписки, и узнайте, как это может повлиять на вас.

    • Пользователи, которым назначены роли с помощью Azure RBAC, потеряют доступ.
    • Администратор служб и соадминистраторы потеряют доступ.
    • Если у вас есть какие-либо хранилища ключей, они будут недоступны, и вам придется исправить их после ассоциации.
    • Если у вас есть управляемые удостоверения для таких ресурсов, как Виртуальные машины или Logic Apps, необходимо повторно их включить или создать заново после сопоставления.
    • Если у вас есть зарегистрированная Azure Stack, ее потребуется повторно зарегистрировать после связи.

    Дополнительные сведения см. в статье Перенос подписки Azure в другой каталог Microsoft Entra.

  • Войдите, используя учетную запись, которая:

    • имеет назначение роли владельца для подписки. Сведения о назначении ролей владельцев см. в статье Назначение ролей Azure с помощью портала Azure.
    • Существует и в текущем каталоге, и в новом каталоге. Текущий каталог связан с подпиской. Вы свяжете новый каталог с этой подпиской. Дополнительные сведения о получении доступа к другому каталогу см. в разделе "Добавление пользователей совместной работы Microsoft Entra B2B" в портал Azure.
    • Убедитесь, что не используете следующие подписки: поставщики облачных служб Azure (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), внутренняя подписка Майкрософт (MS-AZR-0015P) или подписка на Начальный набор Microsoft Azure для учащихся (MS-AZR-0144P).

Связывание подписки с каталогом

Чтобы связать существующую подписку с идентификатором Microsoft Entra, выполните следующие действия.

  1. Войдите в портал Azure с помощью назначения роли владельца для подписки.

  2. Перейдите к подпискам.

  3. Выберите имя подписки, которую вы хотите использовать.

  4. Выберите Изменить каталог.

    Снимок экрана, на котором показана страница

  5. Просмотрите все предупреждения и нажмите Изменить.

    Снимок экрана, на котором показана страница

    После изменения каталога для подписки отобразится сообщение об успешном завершении.

  6. На странице "Подписка" выберите Переключить каталоги, чтобы перейти к новому каталогу.

    Снимок экрана, на котором показана страница

    Для правильного отображения всех элементов может потребоваться несколько часов. Если кажется, что это занимает слишком много времени, проверьте фильтр глобальной подписки. Убедитесь, что перемещенная подписка не скрыта. Возможно, потребуется выйти с портала Azure и войти снова, чтобы увидеть новый каталог.

    Изменение каталога подписки происходит на уровне службы и не влияет на выставление счетов для подписки. Чтобы удалить исходный каталог, необходимо переместить владельца прав на выставление счетов по подписке в новый "Администратор учетной записи". Сведения о передаче прав владения выставлением счетов см. в статье Передача прав владения подпиской Azure другой учетной записи.

Этапы после связи

После связывания подписки с другим каталогом может потребоваться выполнить следующие задачи, чтобы возобновить операции:

  1. Если у вас есть хранилища ключей, необходимо изменить идентификатор клиента хранилища ключей. Дополнительные сведения см. в статье Изменение идентификатора клиента хранилища ключей после перемещения подписки.

  2. Если вы использовали для ресурсов управляемые удостоверения, назначенные системой, необходимо повторно включить эти удостоверения. Если вы использовали управляемые удостоверения, назначенные пользователем, необходимо повторно создать эти удостоверения. После повторного включения или создания управляемых удостоверений необходимо повторно установить разрешения, назначенные этим удостоверениям. См. сведения об управляемых удостоверениях для ресурсов Azure.

  3. Если вы зарегистрировали Azure Stack с помощью этой подписки, необходимо выполнить повторную регистрацию. Дополнительные сведения см. в статье Регистрация Azure Stack Hub в Azure.

  4. Дополнительные сведения см. в статье Перенос подписки Azure в другой каталог Microsoft Entra.

Связанный контент