将 Azure 订阅关联或添加到 Azure Active Directory 租户

Azure 订阅与 Azure Active Directory (Azure AD) 之间存在信任关系。 订阅信任 Azure AD 对用户、服务和设备执行身份验证。

多个订阅可以信任同一个 Azure AD 目录。 每个订阅只能信任一个目录。

一个或多个 Azure 订阅可以与 Azure Active Directory (Azure AD) 实例建立信任关系,以便针对 Azure 服务对安全主体和设备进行身份验证和授权。 订阅过期时,受信任的 Azure AD 服务实例会保留,但安全主体将失去对 Azure 资源的访问权限。

当用户注册 Azure 云服务时,系统会创建一个新的 Azure AD 租户,并使该用户成为全局管理员角色的成员。 但是,当订阅的所有者将其订阅加入现有租户时,系统不会将该所有者分配到全局管理员角色。

所有用户都有一个用于身份验证的“主”目录。 用户还可以充当其他目录中的来宾。 可在 Azure AD 中查看每位用户的主目录和来宾目录。

重要

将订阅与其他目录关联时,如果用户的角色是使用 Azure 基于角色的访问控制分配的,则用户将失去其访问权限。 经典订阅管理员(包括服务管理员和共同管理员)也会失去访问权限。

如果将 Azure Kubernetes 服务 (AKS) 群集移到其他订阅,或者将拥有该群集的订阅移到新租户,该群集将会由于失去角色分配和服务主体权限而丢失功能。 有关 AKS 的详细信息,请参阅 Azure Kubernetes 服务 (AKS)

准备阶段

在关联或添加订阅之前,请执行以下任务:

  • 查看下述在关联或添加订阅后会发生的更改的列表,以及你可能受到的具体影响:

    • 已使用 Azure RBAC 为其分配了角色的用户将失去其访问权限。
    • 服务管理员和共同管理员将失去其访问权限。
    • 如果你有任何密钥保管库,这些密钥保管库将无法访问,而且你必须在关联后对其进行修复。
    • 如果对资源(例如虚拟机或逻辑应用)使用任何托管标识,则必须在关联后重新启用或重新创建这些标识。
    • 如果拥有已注册的 Azure Stack,则将必须在关联后重新注册它。
    • 有关详细信息,请参阅将 Azure 订阅转移到其他 Azure AD 目录
  • 使用符合以下条件的帐户登录:

  • 请确保未使用 Azure 云服务提供商 (CSP) 订阅(MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft 内部订阅 (MS-AZR-0015P) 或面向学生的 Azure 入门版订阅 (MS-AZR-0144P)。

关联后的步骤

将订阅关联到不同的目录后,可能需要执行以下任务来恢复操作:

后续步骤