Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
概述
所有Azure订阅都与Microsoft Entra租户有信任关系。 订阅依赖于该租户(目录)来验证和授权安全主体及设备的身份。 订阅过期后,受信任的实例将保持不变,但安全主体将失去对Azure资源的访问权限。 订阅只能信任单个目录,而一个 Microsoft Entra 租户可能受到多个订阅的信任。
默认情况下,创建Microsoft Entra租户的用户会自动分配 Global Administrator 角色。 但是,当订阅的拥有者将其订阅加入现有租户时,其不会被分配全局管理员角色。
虽然用户可能只有单个身份验证 主 目录,但用户可以作为来宾参与多个目录。 可以在 Microsoft Entra ID 中看到每个用户的主目录和来宾目录。
重要
当订阅与其他目录相关联时,具有使用 Azure 基于角色的访问控制分配角色的用户将失去访问权限。 经典订阅管理员(包括服务管理员和共同管理员)也会失去访问权限。
将Azure Kubernetes 服务 (AKS)群集移动到其他订阅,或将群集拥有的订阅移动到新租户,会导致群集因角色分配和服务主体权限丢失而失去功能。 有关 AKS 的详细信息,请参阅 Azure Kubernetes 服务 (AKS)。
先决条件
在关联或添加订阅之前,请执行以下步骤:
查看关联或添加订阅后将发生的以下更改列表,以及可能受到影响的方式:
- 分配了 Azure RBAC 角色的用户将失去访问权限。
- 服务管理员和共同管理员将失去访问权限。
- 如果有任何密钥保管库,则无法访问它们,并且必须在关联后对其进行修复。
- 如果资源(如 虚拟机 或逻辑应用)有任何托管标识,则必须在关联后重新启用或重新创建它们。
- 如果已注册Azure Stack,则必须在关联后重新注册它。
有关详细信息,请参阅将Azure订阅转为其他Microsoft Entra目录。
使用符合以下条件的账户登录:
- 具有订阅的 所有者 角色分配。 有关如何分配所有者角色的信息,请参阅使用 Azure 门户分配Azure角色。
- 存在于当前目录和新目录中。 当前目录与订阅相关联。 将新目录与订阅相关联。 有关获取对另一个目录的访问权限的详细信息,请参阅 Azure 门户中的 Add Microsoft Entra B2B 协作用户。
- 请确保您未使用Azure云服务提供商(CSP)订阅(MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft内部订阅(MS-AZR-0015P)或Azure学生入门订阅(MS-AZR-0144P)。
关联后步骤
将订阅与其他目录关联后,可能需要执行以下任务才能恢复作:
如果有任何密钥保管库,则必须更改密钥保管库租户 ID。 有关详细信息,请参阅 在订阅移动后更改密钥保管库租户 ID。
如果对资源使用了系统分配的托管标识,则必须重新启用这些标识。 如果使用了用户分配的托管标识,则必须重新创建这些标识。 重新启用或重新创建托管标识后,必须重新建立分配给这些标识的权限。 有关详细信息,请参阅 什么是Azure资源的托管标识?。
如果已使用此订阅注册Azure Stack,则必须重新注册。 有关详细信息,请参阅 register Azure Stack Hub with Azure。
有关详细信息,请参阅将Azure订阅转为其他Microsoft Entra目录。
相关内容
- 在 Microsoft Entra ID 中创建新的租户
- Azure角色、Microsoft Entra角色和经典订阅管理员角色
将管理员和非管理员角色分配给具有 Microsoft Entra ID