Asociación o adición de una suscripción de Azure al inquilino de Microsoft Entra

Todas las suscripciones de Azure tienen una relación de confianza con un inquilino de Microsoft Entra. Las suscripciones dependen de este inquilino (directorio) para autenticar y autorizar entidades de seguridad y dispositivos. Cuando una suscripción expira, la instancia de confianza permanece, pero las entidades de seguridad pierden el acceso a los recursos de Azure. Las suscripciones solo pueden confiar en un único directorio, mientras que un inquilino de Microsoft Entra puede ser de confianza para varias suscripciones.

De forma predeterminada, al usuario que crea un inquilino de Microsoft Entra se le asigna automáticamente el rol de administrador global de . Sin embargo, cuando un propietario de una suscripción se une a su suscripción a un inquilino existente, el propietario no se asigna al rol de administrador global.

Aunque es posible que los usuarios solo tengan una autenticación única directorio de inicio, los usuarios pueden participar como invitados en varios directorios. Puede ver tanto los directorios de inicio como de invitado para cada usuario de Microsoft Entra ID.

Importante

Cuando una suscripción está asociada a un directorio diferente, los usuarios que tienen roles asignados mediante control de acceso basado en rol de Azure pierden su acceso. Los administradores de suscripciones clásicas, incluidos el administrador de servicios y los coadministradores, también pierden el acceso.

Mover el clúster de Azure Kubernetes Service (AKS) a una suscripción diferente o mover la suscripción propietaria del clúster a un nuevo inquilino, hace que el clúster pierda la funcionalidad debido a la pérdida de asignaciones de roles y los derechos de la entidad de servicio. Para más información sobre AKS, consulte azure Kubernetes Service (AKS).

Requisitos previos

Para poder asociar o agregar la suscripción, siga estos pasos:

• Revise la siguiente lista de cambios que se producirán después de asociar o agregar la suscripción y cómo podría verse afectado:

  • Los usuarios asignados roles mediante RBAC de Azure pierden su acceso.
  • El administrador de servicios y Co-Administrators perderán el acceso.
  • Si tiene almacenes de claves, no podrán acceder a ellos y tendrá que corregirlos después de la asociación.
  • Si tiene identidades administradas para recursos como Virtual Machines o Logic Apps, debe volver a habilitarlas o volver a crearlas después de la asociación.
  • Si tiene una instancia de Azure Stack registrada, tendrá que volver a registrarla después de la asociación.

  Para obtener más información, consulte Transferencia de una suscripción de Azure a otro directorio de Microsoft Entra.

• Inicie sesión con una cuenta que:

  • Tiene una asignación de roles propietario de para la suscripción. Para obtener información sobre cómo asignar el rol Propietario, consulte Asignación de roles de Azure mediante Azure Portal.
  • Existe tanto en el directorio actual como en el nuevo directorio. El directorio actual está asociado a la suscripción. Asocie el nuevo directorio a la suscripción. Para obtener más información sobre cómo obtener acceso a otro directorio, consulte Agregar usuarios de colaboración de Microsoft Entra B2B en Azure Portal.
  • Asegúrese de que no usa una suscripción de proveedores de servicios en la nube (CSP) de Azure (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), una suscripción interna de Microsoft (MS-AZR-0015P) o una suscripción de Microsoft Azure for Students Starter (MS-AZR-0144P).

Asociación de una suscripción a un directorio

Para asociar una suscripción existente con el identificador de Microsoft Entra, siga estos pasos:

1. Inicie sesión en el azure Portal con la asignación de roles de propietario de para la suscripción.

2. Vaya a Suscripciones.

3. Seleccione el nombre de la suscripción que desea usar.

4. Seleccione Cambiar directorio.

   

5. Revise las advertencias que aparecen y, a continuación, seleccione Cambiar.

   

   Después de cambiar el directorio de la suscripción, recibirá un mensaje de confirmación.

6. Seleccione Cambiar directorios en la página de suscripción para ir al nuevo directorio.

   

   Todo puede tardar varias horas en aparecer correctamente. Si parece tardar demasiado tiempo, compruebe el filtro de suscripción global . Asegúrese de que la suscripción movida no está oculta. Es posible que tenga que cerrar sesión en Azure Portal e iniciar sesión para ver el nuevo directorio.

   Cambiar el directorio de suscripción es una operación de nivel de servicio, por lo que no afecta a la propiedad de facturación de la suscripción. Para eliminar el directorio original, debe transferir la propiedad de facturación de la suscripción a un nuevo administrador de cuenta. Para más información sobre cómo transferir la propiedad de facturación, consulte Transferencia de la propiedad de una suscripción de Azure a otra cuenta.

Pasos posteriores a la asociación

Después de asociar una suscripción a otro directorio, es posible que tenga que realizar las siguientes tareas para reanudar las operaciones:

1. Si tiene almacenes de claves, debe cambiar el identificador de inquilino del almacén de claves. Para obtener más información, consulte Cambio de un identificador de inquilino del almacén de claves después de mover una suscripción.

2. Si usó identidades administradas asignadas por el sistema para los recursos, debe volver a habilitar estas identidades. Si usó identidades administradas asignadas por el usuario, debe volver a crear estas identidades. Después de volver a habilitar o volver a crear las identidades administradas, debe volver a establecer los permisos asignados a esas identidades. Para más información, consulte ¿Qué son las identidades administradas para los recursos de Azure?.

3. Si ha registrado una instancia de Azure Stack mediante esta suscripción, debe volver a registrarse. Para más información, consulte Registro de Azure Stack Hub con Azure.

4. Para obtener más información, consulte Transferencia de una suscripción de Azure a otro directorio de Microsoft Entra.

Contenido relacionado

• Creación de un nuevo inquilino en el identificador de Microsoft Entra
• Roles de Azure, roles de Microsoft Entra y roles de administrador de suscripciones clásicas
• Asignación de roles de administrador y no administrador a los usuarios con el identificador de Microsoft Entra

Todas las suscripciones de Azure tienen una relación de confianza con un inquilino de Microsoft Entra. Las suscripciones dependen de este inquilino (directorio) para autenticar y autorizar entidades de seguridad y dispositivos. Cuando una suscripción expira, la instancia de confianza permanece, pero las entidades de seguridad pierden el acceso a los recursos de Azure. Las suscripciones solo pueden confiar en un único directorio, mientras que un inquilino de Microsoft Entra puede ser de confianza para varias suscripciones.

De forma predeterminada, al usuario que crea un inquilino de Microsoft Entra se le asigna automáticamente el rol de administrador global de . Sin embargo, cuando un propietario de una suscripción se une a su suscripción a un inquilino existente, el propietario no se asigna al rol de administrador global.

Aunque es posible que los usuarios solo tengan una autenticación única directorio de inicio, los usuarios pueden participar como invitados en varios directorios. Puede ver tanto los directorios de inicio como de invitado para cada usuario de Microsoft Entra ID.

Importante

Cuando una suscripción está asociada a un directorio diferente, los usuarios que tienen roles asignados mediante control de acceso basado en rol de Azure pierden su acceso. Los administradores de suscripciones clásicas, incluidos el administrador de servicios y los coadministradores, también pierden el acceso.

Mover el clúster de Azure Kubernetes Service (AKS) a una suscripción diferente o mover la suscripción propietaria del clúster a un nuevo inquilino, hace que el clúster pierda la funcionalidad debido a la pérdida de asignaciones de roles y los derechos de la entidad de servicio. Para más información sobre AKS, consulte azure Kubernetes Service (AKS).

Para poder asociar o agregar la suscripción, siga estos pasos:

• Revise la siguiente lista de cambios que se producirán después de asociar o agregar la suscripción y cómo podría verse afectado:

  • Los usuarios asignados roles mediante RBAC de Azure pierden su acceso.
  • El administrador de servicios y Co-Administrators perderán el acceso.
  • Si tiene almacenes de claves, no podrán acceder a ellos y tendrá que corregirlos después de la asociación.
  • Si tiene identidades administradas para recursos como Virtual Machines o Logic Apps, debe volver a habilitarlas o volver a crearlas después de la asociación.
  • Si tiene una instancia de Azure Stack registrada, tendrá que volver a registrarla después de la asociación.

  Para obtener más información, consulte Transferencia de una suscripción de Azure a otro directorio de Microsoft Entra.

• Inicie sesión con una cuenta que:

  • Tiene una asignación de roles propietario de para la suscripción. Para obtener información sobre cómo asignar el rol Propietario, consulte Asignación de roles de Azure mediante Azure Portal.
  • Existe tanto en el directorio actual como en el nuevo directorio. El directorio actual está asociado a la suscripción. Asocie el nuevo directorio a la suscripción. Para obtener más información sobre cómo obtener acceso a otro directorio, consulte Agregar usuarios de colaboración de Microsoft Entra B2B en Azure Portal.
  • Asegúrese de que no usa una suscripción de proveedores de servicios en la nube (CSP) de Azure (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), una suscripción interna de Microsoft (MS-AZR-0015P) o una suscripción de Microsoft Azure for Students Starter (MS-AZR-0144P).

Para asociar una suscripción existente con el identificador de Microsoft Entra, siga estos pasos:

1. Inicie sesión en el azure Portal con la asignación de roles de propietario de para la suscripción.

2. Vaya a Suscripciones.

3. Seleccione el nombre de la suscripción que desea usar.

4. Seleccione Cambiar directorio.

   

5. Revise las advertencias que aparecen y, a continuación, seleccione Cambiar.

   

   Después de cambiar el directorio de la suscripción, recibirá un mensaje de confirmación.

6. Seleccione Cambiar directorios en la página de suscripción para ir al nuevo directorio.

   

   Todo puede tardar varias horas en aparecer correctamente. Si parece tardar demasiado tiempo, compruebe el filtro de suscripción global . Asegúrese de que la suscripción movida no está oculta. Es posible que tenga que cerrar sesión en Azure Portal e iniciar sesión para ver el nuevo directorio.

   Cambiar el directorio de suscripción es una operación de nivel de servicio, por lo que no afecta a la propiedad de facturación de la suscripción. Para eliminar el directorio original, debe transferir la propiedad de facturación de la suscripción a un nuevo administrador de cuenta. Para más información sobre cómo transferir la propiedad de facturación, consulte Transferencia de la propiedad de una suscripción de Azure a otra cuenta.

Después de asociar una suscripción a otro directorio, es posible que tenga que realizar las siguientes tareas para reanudar las operaciones:

1. Si tiene almacenes de claves, debe cambiar el identificador de inquilino del almacén de claves. Para obtener más información, consulte Cambio de un identificador de inquilino del almacén de claves después de mover una suscripción.

2. Si usó identidades administradas asignadas por el sistema para los recursos, debe volver a habilitar estas identidades. Si usó identidades administradas asignadas por el usuario, debe volver a crear estas identidades. Después de volver a habilitar o volver a crear las identidades administradas, debe volver a establecer los permisos asignados a esas identidades. Para más información, consulte ¿Qué son las identidades administradas para los recursos de Azure?.

3. Si ha registrado una instancia de Azure Stack mediante esta suscripción, debe volver a registrarse. Para más información, consulte Registro de Azure Stack Hub con Azure.

4. Para obtener más información, consulte Transferencia de una suscripción de Azure a otro directorio de Microsoft Entra.