Azure サブスクリプションは、Microsoft Entra テナント との間に信頼関係があります。 サブスクリプションはこのテナント (ディレクトリ) に依存して、セキュリティ プリンシパルとデバイスの認証と承認を行います。 サブスクリプションの有効期限が切れると、信頼されたインスタンスは残りますが、セキュリティ プリンシパルでは、Azure リソースへのアクセスが失われます。 サブスクリプションは 1 つのディレクトリのみを信頼できます (関連付けられる) が、1 つの Microsoft Entra テナントは複数のサブスクリプションから信頼されることができます。
ユーザーが Microsoft のクラウド サービスに新規登録すると、新しい Microsoft Entra テナントが作成され、そのユーザーがグローバル管理者となります。 ただし、サブスクリプションの所有者が自分のサブスクリプションを既存のテナントに参加させるとき、その所有者は全体管理者ロールに割り当てられません。
ユーザーは認証 "ホーム" ディレクトリを 1 つだけ持つことができますが、ユーザーは複数のディレクトリにゲストとして参加できます。 Microsoft Entra ID では、各ユーザーのホーム ディレクトリとゲスト ディレクトリの両方を確認できます。
重要
サブスクリプションが別のディレクトリに関連付けられると、Azure ロールベースのアクセス制御を使用してロールが割り当てられているユーザーはアクセス権を失います。 サービス管理者や共同管理者などの従来のサブスクリプション管理者もアクセスできなくなります。
Azure Kubernetes Service (AKS) クラスターを別のサブスクリプションに移したり、クラスターを所有するサブスクリプションを新しいテナントに移したりすると、ロールの割り当てやサービス プリンシパルの権限が失われるため、クラスターの機能が失われることになります。 AKS の詳細については、「Azure Kubernetes Service (AKS)」を参照してください。