将 Azure 订阅关联或添加到 Microsoft Entra 租户

所有 Azure 订阅与 Microsoft Entra 租户存在信任关系。 订阅依赖于此租户(目录)来验证安全主题和设备的身份并对其进行授权。 订阅过期后,受信任的实例会保留,但安全主体将失去对 Azure 资源的访问权限。 订阅只能信任一个目录,而一个 Microsoft Entra 租户可能受多个订阅的信任。

当用户注册 Azure 云服务时,将会创建一个新的 Microsoft Entra 租户,并将该用户设为全局管理员。 但是,当订阅的所有者将其订阅加入现有租户时,系统不会将该所有者分配到全局管理员角色。

虽然用户可能只有一个身份验证主目录,但用户可以在多个目录中以来宾的身份参与。 可在 Microsoft Entra ID 中查看每位用户的主目录和来宾目录。

显示 Azure 订阅与 Microsoft Entra 目录之间的信任关系的屏幕截图。

重要

将订阅与其他目录关联时,如果用户的角色是使用 Azure 基于角色的访问控制分配的,则用户将失去其访问权限。 经典订阅管理员(包括服务管理员和共同管理员)也会失去访问权限。

如果将 Azure Kubernetes 服务 (AKS) 群集移到其他订阅,或者将拥有该群集的订阅移到新租户,该群集将会由于失去角色分配和服务主体权限而丢失功能。 有关 AKS 的详细信息,请参阅 Azure Kubernetes 服务 (AKS)

先决条件

在关联或添加订阅之前,请执行以下步骤:

  • 查看下述在关联或添加订阅后会发生的更改的列表,以及你可能受到的具体影响:

    • 已使用 Azure RBAC 分配了角色的用户将失去其访问权限。
    • 服务管理员和共同管理员将失去其访问权限。
    • 如果你有任何密钥保管库,这些密钥保管库将无法访问,而且你必须在关联后对其进行修复。
    • 如果对资源(例如虚拟机或逻辑应用)使用任何托管标识,则必须在关联后重新启用或重新创建这些标识。
    • 如果拥有已注册的 Azure Stack,则将必须在关联后重新注册它。

    有关详细信息,请参阅将 Azure 订阅转移到其他 Microsoft Entra 目录

  • 使用符合以下条件的帐户登录:

    • 具有该订阅的所有者角色分配。 有关如何分配所有者角色的信息,请参阅使用 Azure 门户分配 Azure 角色
    • 在当前目录和新目录中存在。 当前目录已与订阅相关联。 要将新目录与订阅相关联。 若要详细了解如何获取其他目录的访问权限,请参阅在 Azure 门户中添加 Microsoft Entra B2B 协作用户
    • 请确保未使用 Azure 云服务提供商 (CSP) 订阅(MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft 内部订阅 (MS-AZR-0015P) 或面向学生的 Azure 入门版订阅 (MS-AZR-0144P)。

关联后的步骤

将订阅关联到不同的目录后,可能需要执行以下任务来恢复操作:

  1. 如果有任何密钥保管库,则必须更改该密钥保管库租户 ID。 有关详细信息,请参阅在订阅移动后更改密钥保管库租户 ID

  2. 如果对资源使用了系统分配的托管标识,则必须重新启用这些标识。 如果使用了用户分配的托管标识,则必须重新创建这些标识。 重新启用或重新创建托管标识后,必须重新建立分配给这些标识的权限。 有关详细信息,请参阅什么是 Azure 资源的托管标识?

  3. 如果已使用此订阅注册了 Azure Stack,则必须重新注册。 有关详细信息,请参阅将 Azure Stack Hub 注册到 Azure

  4. 有关详细信息,请参阅将 Azure 订阅转移到其他 Microsoft Entra 目录