所有 Azure 订阅都与 Microsoft Entra 租户具有信任关系。 订阅依赖于此租户(目录)对安全主体和设备进行身份验证和授权。 订阅过期后,受信任的实例将保持不变,但安全主体将失去对 Azure 资源的访问权限。 订阅只能信任单个目录,而一个Microsoft Entra 租户可由多个订阅信任。
默认情况下,创建Microsoft Entra 租户的用户会自动分配 全局管理员 角色。 但是,当订阅的所有者将其订阅加入现有租户时,不会将所有者分配到全局管理员角色。
虽然用户可能只有单个身份验证 主 目录,但用户可以作为来宾参与多个目录。 可以在 Microsoft Entra ID 中查看每个用户的主目录和来宾目录。
重要
当订阅与其他目录关联时,具有使用 Azure 基于角色的访问控制 分配的角色的用户将失去其访问权限。 经典订阅管理员(包括服务管理员和共同管理员)也会失去访问权限。
将 Azure Kubernetes 服务 (AKS) 群集移到其他订阅,或将群集拥有的订阅移到新租户,会导致群集因角色分配和服务主体权限丢失而失去功能。 有关 AKS 的详细信息,请参阅 Azure Kubernetes 服务(AKS)。
先决条件
在关联或添加订阅之前,请执行以下步骤:
查看关联或添加订阅后将发生的以下更改列表,以及可能受到影响的方式:
- 使用 Azure RBAC 的用户分配的角色将失去其访问权限。
- 服务管理员和 Co-Administrators 将失去访问权限。
- 如果有任何密钥保管库,则无法访问它们,并且必须在关联后对其进行修复。
- 如果资源(如虚拟机或逻辑应用)有任何托管标识,则必须在关联后重新启用或重新创建它们。
- 如果已注册 Azure Stack,则必须在关联后重新注册它。
有关详细信息,请参阅将 Azure 订阅传输到其他 Microsoft Entra 目录。
使用:
- 具有订阅的 所有者 角色分配。 有关如何分配所有者角色的信息,请参阅 使用 Azure 门户分配 Azure 角色。
- 存在于当前目录和新目录中。 当前目录与订阅相关联。 将新目录与订阅相关联。 有关获取对另一个目录的访问权限的详细信息,请参阅 Azure 门户中的 Add Microsoft Entra B2B 协作用户。
- 请确保未使用 Azure 云服务提供商(CSP)订阅(MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft内部订阅(MS-AZR-0015P)或 Azure for Students Starter 订阅(MS-AZR-0144P)。
关联后步骤
将订阅与其他目录关联后,可能需要执行以下任务才能恢复作:
如果有任何密钥保管库,则必须更改密钥保管库租户 ID。 有关详细信息,请参阅 在订阅移动后更改密钥保管库租户 ID。
如果对资源使用了系统分配的托管标识,则必须重新启用这些标识。 如果使用了用户分配的托管标识,则必须重新创建这些标识。 重新启用或重新创建托管标识后,必须重新建立分配给这些标识的权限。 有关详细信息,请参阅 什么是 Azure 资源的托管标识?。
如果已使用此订阅注册 Azure Stack,则必须重新注册。 有关详细信息,请参阅 向 Azure 注册 Azure Stack Hub。
有关详细信息,请参阅将 Azure 订阅传输到其他 Microsoft Entra 目录。