將 Azure 訂用帳戶關聯或新增至您的Microsoft Entra租使用者

  • 發行項

所有 Azure 訂用帳戶都與Microsoft Entra租使用者具有信任關係。 訂用帳戶依賴此租使用者 (目錄) 來驗證和授權安全性主體和裝置。 當訂用帳戶到期時,信任的實例會維持不變,但安全性主體會失去 Azure 資源的存取權。 訂用帳戶只能信任單一目錄,但多個訂用帳戶可能會信任一個Microsoft Entra租使用者。

當使用者註冊 Microsoft 雲端服務時,會建立新的Microsoft Entra租使用者,並將使用者設為全域管理員。 不過,當訂閱的擁有者將其訂閱加入至現有租用戶時,擁有者不會被指派給全域系統管理員角色。

雖然使用者可能只有單一驗證 目錄,但使用者可能會以來賓身分參與多個目錄中。 您可以在Microsoft Entra識別碼中看到每個使用者的主目錄和來賓目錄。

顯示 Azure 訂用帳戶與 Azure Active Directory 之間信任關聯性的螢幕擷取畫面。

重要

當訂用帳戶與不同的目錄相關聯時,使用 Azure 角色型存取控制 指派角色的使用者會失去其存取權。 傳統訂用帳戶管理員 (包括服務管理員和共同管理員) 也會失去存取權。

將 Azure Kubernetes Service (AKS) 叢集移至不同的訂閱,或將叢集擁有的訂閱移至新租用戶,都會因為遺失角色指派和服務主體權限而造成叢集失去功能。 如需 AKS 的詳細資訊,請參閱 Azure Kubernetes Service (AKS)

開始之前

在您可以建立關聯或新增訂用帳戶之前,請執行下列步驟:

  • 檢閱下列變更清單,了解在您建立關聯或新增訂用帳戶後所將發生的變更,以及您可能受到的影響:

    • 已使用 Azure RBAC 獲得指派角色的使用者,將會失去其存取權。
    • 服務管理員和共同管理員將失去存取權。
    • 您任何的金鑰保存庫都將變得無法存取,您必須在關聯之後加以修正。
    • 如果您的資源 (例如虛擬機器或 Logic Apps) 有任何受控識別,您必須在關聯之後將其重新啟用或重新建立。
    • 如果您有已註冊的 Azure Stack,您必須在關聯之後加以重新註冊。

    如需詳細資訊,請參閱將 Azure 訂用帳戶轉移至不同的Microsoft Entra目錄

  • 使用符合下列條件的帳戶登入:

    • 具有訂用帳戶的擁有者角色指派。 如需如何指派擁有者角色的資訊,請參閱使用 Azure 入口網站指派 Azure 角色
    • 在目前的目錄和新目錄中都存在。 目前的目錄與訂用帳戶相關聯。 您會將新目錄與訂用帳戶產生關聯。 如需取得另一個目錄存取權的詳細資訊,請參閱在Azure 入口網站中新增Microsoft Entra B2B 共同作業使用者
    • 確定您正在使用的不是 Azure 雲端服務提供者 (CSP) 訂閱 (MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft 內部訂閱 (MS-AZR-0015P) 或 Microsoft Azure 學生入門版訂閱 (MS-AZR-0144P)。

將訂用帳戶與目錄產生關聯

若要將現有的訂用帳戶與您的Microsoft Entra識別碼產生關聯,請遵循下列步驟:

  1. 使用訂用帳戶的擁有者角色指派來登入Azure 入口網站

  2. 流覽至 [訂用帳戶]。

  3. 選取您想要使用的訂用帳戶名稱。

  4. 按一下 [變更目錄]。

    顯示訂用帳戶頁面的螢幕擷取畫面,其中醒目提示變更目錄選項。

  5. 檢閱出現的任何警告,然後選取 [變更]。

    顯示變更目錄頁面的螢幕擷取畫面,其中醒目提示範例目錄和 [變更] 按鈕。

    訂用帳戶的目錄變更之後,您會看到成功訊息。

  6. 選取訂用帳戶頁面上的 [切換目錄],以移至您的新目錄。

    顯示具有範例資訊的目錄切換器頁面螢幕擷取畫面。

    可能需要數小時,所有項目才會正確顯示。 若似乎花費了太多時間,請檢查全域訂閱篩選。 請確定移動的訂用帳戶並未隱藏。 您可能需要先登出 Azure 入口網站再重新登入,才能看到新目錄。

變更訂用帳戶目錄是服務層級作業,因此不會影響訂用帳戶帳單擁有權。 若要刪除原始目錄,您必須將訂用帳戶的帳單擁有權移轉給新的帳戶管理員。若要深入了解如何移轉帳單擁有權,請參閱將 Azure 訂用帳戶的擁有權移轉給另一個帳戶

關聯後步驟

將訂用帳戶與不同的目錄建立關聯之後,您可能需要執行下列工作以繼續作業:

下一步