編集

次の方法で共有

Microsoft Entra テナントへの Azure サブスクリプションの関連付けまたは追加

  • 操作方法

すべての Azure サブスクリプションには、Microsoft Entra テナントとの信頼関係があります。 サブスクリプションは、セキュリティ プリンシパルとデバイスの認証と承認を行うために、このテナント (ディレクトリ) に依存します。 サブスクリプションの有効期限が切れると、信頼されたインスタンスは残りますが、セキュリティ プリンシパルは Azure リソースへのアクセスを失います。 サブスクリプションは 1 つのディレクトリのみを信頼できますが、1 つの Microsoft Entra テナントは複数のサブスクリプションで信頼できます。

ユーザーが Microsoft クラウド サービスにサインアップすると、新しい Microsoft Entra テナントが作成され、ユーザーがグローバル管理者になります。 ただし、サブスクリプションの所有者がサブスクリプションを既存のテナントに参加させる場合、所有者はグローバル管理者ロールに割り当てられません。

ユーザーはホーム ディレクトリ 認証を 1 つだけ持つことができますが、ユーザーは複数のディレクトリにゲストとして参加できます。 Microsoft Entra ID では、各ユーザーのホーム ディレクトリとゲスト ディレクトリの両方を確認できます。

Azure サブスクリプションと Microsoft Entra ディレクトリの間の信頼関係を示すスクリーンショット。

大事な

サブスクリプションが別のディレクトリに関連付けられている場合、Azure ロールベースのアクセス制御を使用してロールが割り当てられているユーザー アクセス 失われます。 サービス管理者や共同管理者を含む従来のサブスクリプション管理者もアクセスできなくなります。

Azure Kubernetes Service (AKS) クラスターを別のサブスクリプションに移動するか、クラスター所有サブスクリプションを新しいテナントに移動すると、ロールの割り当てとサービス プリンシパルの権限が失われたため、クラスターの機能が失われます。 AKS の詳細については、Azure Kubernetes Service (AKS)に関するページを参照してください。

前提条件

サブスクリプションを関連付けるか追加する前に、次の手順を実行します。

  • サブスクリプションの関連付けまたは追加後に発生する次の変更の一覧と、影響を受ける可能性がある変更の一覧を確認します。

    • Azure RBAC を使用してロールを割り当てられたユーザーは、アクセス権を失います。
    • サービス管理者と Co-Administrators はアクセスできなくなります。
    • キー コンテナーがある場合はアクセスできなくなります。関連付け後に修正する必要があります。
    • Virtual Machines や Logic Apps などのリソースのマネージド ID がある場合は、関連付け後に再度有効にするか再作成する必要があります。
    • Azure Stack が登録されている場合は、関連付け後に再登録する必要があります。

    詳細については、「別の Microsoft Entra ディレクトリに Azure サブスクリプションを転送する」を参照してください。

  • 次のアカウントを使用してサインインします。

    • サブスクリプションの 所有者 ロールの割り当てがある。 所有者ロールを割り当てる方法については、「Azure portalを使用して Azure ロールを割り当てる を参照してください。
    • 現在のディレクトリと新しいディレクトリの両方に存在します。 現在のディレクトリはサブスクリプションに関連付けられています。 新しいディレクトリをサブスクリプションに関連付けます。 別のディレクトリにアクセスする方法の詳細については、「Azure portalで Microsoft Entra B2B コラボレーション ユーザーを追加する を参照してください。
    • Azure クラウド サービス プロバイダー (CSP) サブスクリプション (MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft Internal サブスクリプション (MS-AZR-0015P)、または Microsoft Azure for Students Starter サブスクリプション (MS-AZR-0144P) を使用していないことを確認します。

サブスクリプションをディレクトリに関連付ける

既存のサブスクリプションを Microsoft Entra ID に関連付けるには、次の手順に従います。

  1. サブスクリプションの 所有者 ロールの割り当てを使用して、Azure portal にサインインします。

  2. サブスクリプションを参照します。

  3. 使用するサブスクリプションの名前を選択します。

  4. [ディレクトリ変更] を選択します。

    [ディレクトリの変更] オプションが強調表示されている [サブスクリプション] ページを示すスクリーンショット。

  5. 表示される警告を確認し、[の変更] 選択します。

    サンプル ディレクトリと [変更] ボタンが強調表示された [ディレクトリの変更] ページを示すスクリーンショット。

    サブスクリプションのディレクトリが変更されると、成功メッセージが表示されます。

  6. サブスクリプション ページ [ディレクトリの切り替え] を選択して、新しいディレクトリに移動します。

    サンプル情報を含む [ディレクトリ スイッチャー] ページを示すスクリーンショット。

    すべてが正しく表示されるまでに数時間かかることがあります。 時間がかかりすぎると思われる場合は、グローバル サブスクリプション フィルター確認してください。 移動したサブスクリプションが非表示になっていないことを確認します。 新しいディレクトリを表示するには、Azure portal からサインアウトし、もう一度サインインする必要がある場合があります。

    サブスクリプション ディレクトリの変更はサービス レベルの操作であるため、サブスクリプションの課金所有権には影響しません。 元のディレクトリを削除するには、サブスクリプションの課金所有権を新しいアカウント管理者に譲渡する必要があります。課金所有権の譲渡の詳細については、「Azure サブスクリプションの所有権を別のアカウントに譲渡する」を参照してください。

関連付け後の手順

サブスクリプションを別のディレクトリに関連付けた後、操作を再開するには、次のタスクを実行する必要がある場合があります。

  1. キー コンテナーがある場合は、キー コンテナーのテナント ID を変更する必要があります。 詳細については、「サブスクリプションの移動後にキー コンテナーテナント ID を変更する」参照してください。

  2. リソースにシステム割り当てマネージド ID を使用した場合は、これらの ID を再度有効にする必要があります。 ユーザー割り当てマネージド ID を使用した場合は、これらの ID を再作成する必要があります。 マネージド ID を再度有効にするか再作成した後、それらの ID に割り当てられたアクセス許可を再確立する必要があります。 詳細については、「Azure リソースのマネージド ID とは」を参照してください。.

  3. このサブスクリプションを使用して Azure Stack を登録した場合は、再登録する必要があります。 詳細については、「Azure Stack Hub を Azureに登録する」を参照してください。

  4. 詳細については、「別の Microsoft Entra ディレクトリに Azure サブスクリプションを転送する」を参照してください。

関連するコンテンツ