Modifica

Condividi tramite

Associare o aggiungere una sottoscrizione di Azure al tenant di Microsoft Entra

  • Procedure

Tutte le sottoscrizioni di Azure hanno una relazione di trust con un tenant di Microsoft Entra. Le sottoscrizioni si basano su questo tenant (directory) per autenticare e autorizzare entità di sicurezza e dispositivi. Quando una sottoscrizione scade, l'istanza attendibile rimane, ma le entità di sicurezza perdono l'accesso alle risorse di Azure. Le sottoscrizioni possono considerare attendibile una singola directory mentre un tenant di Microsoft Entra può essere considerato attendibile da più sottoscrizioni.

Quando un utente effettua l'iscrizione a un servizio cloud Microsoft, viene creato un nuovo tenant di Microsoft Entra e l'utente viene reso amministratore globale. Tuttavia, quando un proprietario di una sottoscrizione aggiunge la sottoscrizione a un tenant esistente, il proprietario non viene assegnato al ruolo di amministratore globale.

Anche se gli utenti possono avere una sola autenticazione home directory, gli utenti possono partecipare come guest in più directory. È possibile visualizzare sia le directory home che le directory guest per ogni utente in Microsoft Entra ID.

Screenshot che mostra la relazione di trust tra le sottoscrizioni di Azure e le directory di Microsoft Entra.

Importante

Quando una sottoscrizione è associata a una directory diversa, gli utenti con ruoli assegnati usando controllo degli accessi in base al ruolo di Azure perdono l'accesso. Anche gli amministratori delle sottoscrizioni classiche, inclusi l'amministratore del servizio e i coamministratori, perdono l'accesso.

Lo spostamento del cluster del servizio Azure Kubernetes in una sottoscrizione diversa o lo spostamento della sottoscrizione proprietaria del cluster in un nuovo tenant causa la perdita di funzionalità del cluster a causa di assegnazioni di ruolo perse e diritti dell'entità servizio. Per altre informazioni sul servizio Azure Kubernetes, vedere servizio Azure Kubernetes.

Prerequisiti

Prima di poter associare o aggiungere la sottoscrizione, seguire questa procedura:

  • Esaminare l'elenco seguente di modifiche che verranno apportate dopo l'associazione o l'aggiunta della sottoscrizione e il modo in cui potrebbe essere interessato:

    • Gli utenti assegnati ruoli che usano il controllo degli accessi in base al ruolo di Azure perdono l'accesso.
    • Amministratore del servizio e Co-Administrators perderanno l'accesso.
    • Se sono presenti insiemi di credenziali delle chiavi, non saranno accessibili e sarà necessario correggerli dopo l'associazione.
    • Se sono presenti identità gestite per risorse come Macchine virtuali o App per la logica, è necessario riabilitarle o ricrearle dopo l'associazione.
    • Se azure Stack è registrato, sarà necessario registrarlo nuovamente dopo l'associazione.

    Per altre informazioni, vedere Trasferire una sottoscrizione di Azure a un'altra directory di Microsoft Entra.

  • Accedere con un account che:

    • Dispone di un'assegnazione di ruolo proprietario per la sottoscrizione. Per informazioni su come assegnare il ruolo Proprietario, vedere Assegnare ruoli di Azure usando il portale di Azure.
    • Esiste sia nella directory corrente che nella nuova directory. La directory corrente è associata alla sottoscrizione. Associare la nuova directory alla sottoscrizione. Per altre informazioni su come ottenere l'accesso a un'altra directory, vedere Aggiungere utenti di Collaborazione B2B di Microsoft Entra nel portale di Azure.
    • Assicurarsi di non usare una sottoscrizione di Provider di servizi cloud di Azure (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), una sottoscrizione interna Microsoft (MS-AZR-0015P) o una sottoscrizione di Microsoft Azure for Students Starter (MS-AZR-0144P).

Associare una sottoscrizione a una directory

Per associare una sottoscrizione esistente all'ID Microsoft Entra, seguire questa procedura:

  1. Accedere al portale di Azure con l'assegnazione di ruolo proprietario per la sottoscrizione.

  2. Passare a sottoscrizioni .

  3. Selezionare il nome della sottoscrizione da usare.

  4. Selezionare Modifica directory.

    Screenshot che mostra la pagina Sottoscrizioni con l'opzione Cambia directory evidenziata.

  5. Esaminare gli avvisi visualizzati e quindi selezionare Modifica.

    Screenshot che mostra la pagina Modifica la directory con una directory di esempio e il pulsante Cambia evidenziato.

    Dopo aver modificato la directory per la sottoscrizione, verrà visualizzato un messaggio di operazione riuscita.

  6. Selezionare Cambia directory nella pagina della sottoscrizione per passare alla nuova directory.

    Screenshot che mostra la pagina cambio directory con informazioni di esempio.

    La visualizzazione corretta di tutto può richiedere diverse ore. Se sembra impiegare troppo tempo, controllare il filtro della sottoscrizione globale . Assicurarsi che la sottoscrizione spostata non sia nascosta. Potrebbe essere necessario disconnettersi dal portale di Azure e accedere di nuovo per visualizzare la nuova directory.

    La modifica della directory della sottoscrizione è un'operazione a livello di servizio, quindi non influisce sulla proprietà della fatturazione della sottoscrizione. Per eliminare la directory originale, è necessario trasferire la proprietà della fatturazione della sottoscrizione a un nuovo amministratore account. Per altre informazioni sul trasferimento della proprietà della fatturazione, vedere Trasferire la proprietà di una sottoscrizione di Azure a un altro account.

Passaggi post-associazione

Dopo aver associato una sottoscrizione a una directory diversa, potrebbe essere necessario eseguire le attività seguenti per riprendere le operazioni:

  1. Se sono presenti insiemi di credenziali delle chiavi, è necessario modificare l'ID tenant dell'insieme di credenziali delle chiavi. Per altre informazioni, vedere Modificare un ID tenant dell'insieme di credenziali delle chiavi dopo lo spostamento di una sottoscrizione.

  2. Se sono state usate identità gestite assegnate dal sistema per le risorse, è necessario riabilitare queste identità. Se sono state usate identità gestite assegnate dall'utente, è necessario ricreare queste identità. Dopo aver riabilitare o ricreato le identità gestite, è necessario ristabilire le autorizzazioni assegnate a tali identità. Per altre informazioni, vedere Che cosa sono le identità gestite per le risorse di Azure?.

  3. Se si è registrato un'istanza di Azure Stack usando questa sottoscrizione, è necessario eseguire di nuovo la registrazione. Per altre informazioni, vedere registrare l'hub di Azure Stack con Azure.

  4. Per altre informazioni, vedere Trasferire una sottoscrizione di Azure a un'altra directory di Microsoft Entra.

Contenuto correlato