你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

将 Azure 订阅关联或添加到 Azure Active Directory 租户

  • 项目

所有 Azure 订阅都与 Azure Active Directory (Azure AD) 实例建立了信任关系。 订阅依赖于其受信任的 Azure AD 来对安全主体和设备进行身份验证与授权。 订阅过期时,受信任的 Azure AD 服务实例会保留,但安全主体将失去对 Azure 资源的访问权限。 订阅只能信任单个目录,而一个 Azure AD 可能被多个订阅信任。

当用户注册 Microsoft 云服务时,系统会创建一个新的 Azure AD 租户,并使该用户成为全局管理员角色的成员。 但是,当订阅的所有者将其订阅加入现有租户时,系统不会将该所有者分配到全局管理员角色。

虽然用户可能只有一个身份验证主目录,但用户可以在多个目录中以来宾的身份参与。 可在 Azure AD 中查看每位用户的主目录和来宾目录。

显示 Azure 订阅与 Azure Active Directory 之间的信任关系的屏幕截图。

重要

将订阅与其他目录关联时,如果用户的角色是使用 Azure 基于角色的访问控制分配的,则用户将失去其访问权限。 经典订阅管理员(包括服务管理员和共同管理员)也会失去访问权限。

如果将 Azure Kubernetes 服务 (AKS) 群集移到其他订阅,或者将拥有该群集的订阅移到新租户,该群集将会由于失去角色分配和服务主体权限而丢失功能。 有关 AKS 的详细信息,请参阅 Azure Kubernetes 服务 (AKS)

准备阶段

在关联或添加订阅之前,请执行以下步骤:

  • 查看下述在关联或添加订阅后会发生的更改的列表,以及你可能受到的具体影响:

    • 已使用 Azure RBAC 分配了角色的用户将失去其访问权限。
    • 服务管理员和共同管理员将失去其访问权限。
    • 如果你有任何密钥保管库,这些密钥保管库将无法访问,而且你必须在关联后对其进行修复。
    • 如果对资源(例如虚拟机或逻辑应用)使用任何托管标识,则必须在关联后重新启用或重新创建这些标识。
    • 如果拥有已注册的 Azure Stack,则将必须在关联后重新注册它。

    有关详细信息,请参阅将 Azure 订阅转移到其他 Azure AD 目录

  • 使用符合以下条件的帐户登录:

    • 具有该订阅的所有者角色分配。 有关如何分配所有者角色的信息,请参阅使用 Azure 门户分配 Azure 角色
    • 在当前目录和新目录中存在。 当前目录已与订阅相关联。 要将新目录与订阅相关联。 若要详细了解如何获取其他目录的访问权限,请参阅在 Azure 门户中添加 Azure Active Directory B2B 协作用户
    • 请确保未使用 Azure 云服务提供商 (CSP) 订阅(MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft 内部订阅 (MS-AZR-0015P) 或面向学生的 Microsoft Azure 入门版订阅 (MS-AZR-0144P)。

将订阅关联到目录

若要将现有订阅关联到 Azure AD,请执行以下步骤:

  1. 登录,然后从 Azure 门户中的“订阅”页面选择要使用的订阅。

  2. 选择“更改目录”。

    屏幕截图显示包含突出显示“更改目录”选项的“订阅”页。

  3. 查看出现的任何警告,然后选择“更改”。

    屏幕截图显示包含示例目录的“更改”目录页和突出显示的“更改”按钮。

    订阅目录更改后,将收到一条成功消息。

  4. 选择订阅页上的“切换目录”,转到新目录。

    屏幕截图显示包含示例信息的“目录切换器”页。

    正确显示所有内容可能需要数小时。 如果时间看起来太长,请查看“全局订阅筛选器”。 确保未隐藏移动的订阅。 可能需要注销 Azure 门户并重新登录才能查看新目录。

更改订阅目录是服务级操作,不会影响订阅的账单所有权。 若要删除原始目录,必须将订阅的账单所有权转让给新的帐户管理员。若要详细了解如何转让账单所有权,请参阅将 Azure 订阅所有权转让给其他帐户

关联后的步骤

将订阅关联到不同的目录后,可能需要执行以下任务来恢复操作:

后续步骤