所有 Azure 订阅与 Microsoft Entra 租户存在信任关系。 订阅依赖于此租户(目录)来验证安全主题和设备的身份并对其进行授权。 订阅过期后,受信任的实例会保留,但安全主体将失去对 Azure 资源的访问权限。 订阅只能信任一个目录,而一个 Microsoft Entra 租户可能受多个订阅的信任。
当用户注册 Azure 云服务时,将会创建一个新的 Microsoft Entra 租户,并将该用户设为全局管理员。 但是,当订阅的所有者将其订阅加入现有租户时,系统不会将该所有者分配到全局管理员角色。
虽然用户可能只有一个身份验证主目录,但用户可以在多个目录中以来宾的身份参与。 可在 Microsoft Entra ID 中查看每位用户的主目录和来宾目录。
重要
将订阅与其他目录关联时,如果用户的角色是使用 Azure 基于角色的访问控制分配的,则用户将失去其访问权限。 经典订阅管理员(包括服务管理员和共同管理员)也会失去访问权限。
如果将 Azure Kubernetes 服务 (AKS) 群集移到其他订阅,或者将拥有该群集的订阅移到新租户,该群集将会由于失去角色分配和服务主体权限而丢失功能。 有关 AKS 的详细信息,请参阅 Azure Kubernetes 服务 (AKS)。