Edytuj

Udostępnij za pośrednictwem

Kojarzenie lub dodawanie subskrypcji platformy Azure do dzierżawy usługi Microsoft Entra

  • Porady

Wszystkie subskrypcje platformy Azure mają relację zaufania z dzierżawą firmy Microsoft Entra. Subskrypcje korzystają z tej dzierżawy (katalogu) w celu uwierzytelniania i autoryzacji podmiotów zabezpieczeń i urządzeń. Gdy subskrypcja wygaśnie, zaufane wystąpienie pozostanie, ale podmioty zabezpieczeń utracą dostęp do zasobów platformy Azure. Subskrypcje mogą ufać tylko jednemu katalogowi, podczas gdy jedna dzierżawa firmy Microsoft Entra może być zaufana przez wiele subskrypcji.

Gdy użytkownik zarejestruje się w usłudze w chmurze firmy Microsoft, zostanie utworzona nowa dzierżawa firmy Microsoft Entra, a użytkownik zostanie administratorem globalnym. Jednak gdy właściciel subskrypcji dołącza swoją subskrypcję do istniejącej dzierżawy, właściciel nie jest przypisany do roli administratora globalnego.

Chociaż użytkownicy mogą mieć tylko jedno uwierzytelnianie katalogu domu, użytkownicy mogą uczestniczyć jako goście w wielu katalogach. Możesz zobaczyć zarówno katalogi główne, jak i katalogi gościa dla każdego użytkownika w identyfikatorze Entra firmy Microsoft.

Zrzut ekranu przedstawiający relację zaufania między subskrypcjami platformy Azure i katalogami Firmy Microsoft Entra.

Ważny

Gdy subskrypcja jest skojarzona z innym katalogiem, użytkownicy, którzy mają przypisane role przy użyciu kontroli dostępu opartej na rolach platformy Azure utracą dostęp. Klasyczni administratorzy subskrypcji, w tym administrator usługi i współadministratorzy, również utracą dostęp.

Przeniesienie klastra usługi Azure Kubernetes Service (AKS) do innej subskrypcji lub przeniesienie subskrypcji będącej właścicielem klastra do nowej dzierżawy powoduje utratę funkcjonalności klastra z powodu utraconych przypisań ról i praw jednostki usługi. Aby uzyskać więcej informacji na temat usługi AKS, zobacz Azure Kubernetes Service (AKS).

Wymagania wstępne

Przed skojarzeniem lub dodaniem subskrypcji wykonaj następujące czynności:

  • Zapoznaj się z następującą listą zmian, które wystąpią po skojarzeniu lub dodaniu subskrypcji oraz o tym, jak może to mieć wpływ:

    • Użytkownicy przypisani do ról przy użyciu kontroli dostępu opartej na rolach platformy Azure utracą dostęp.
    • Administrator usługi i Co-Administrators utracą dostęp.
    • Jeśli masz jakiekolwiek magazyny kluczy, będą one niedostępne i trzeba będzie je naprawić po skojarzeniu.
    • Jeśli masz jakiekolwiek tożsamości zarządzane dla zasobów, takich jak Virtual Machines lub Logic Apps, musisz ponownie włączyć lub ponownie utworzyć je po skojarzeniu.
    • Jeśli masz zarejestrowaną usługę Azure Stack, musisz ponownie zarejestrować ją po skojarzeniu.

    Aby uzyskać więcej informacji, zobacz Transfer an Azure subscription to a different Microsoft Entra directory.

  • Zaloguj się przy użyciu konta, które:

Kojarzenie subskrypcji z katalogiem

Aby skojarzyć istniejącą subskrypcję z identyfikatorem Entra firmy Microsoft, wykonaj następujące kroki:

  1. Zaloguj się do witryny Azure Portal przy użyciu przypisania roli właściciela dla subskrypcji.

  2. Przejdź do subskrypcji.

  3. Wybierz nazwę subskrypcji, której chcesz użyć.

  4. Wybierz pozycję Zmień katalog.

    Zrzut ekranu przedstawiający stronę Subskrypcje z wyróżnioną opcją Zmień katalog.

  5. Przejrzyj wszystkie wyświetlone ostrzeżenia, a następnie wybierz pozycję Zmień.

    Zrzut ekranu przedstawiający stronę Zmień katalog z przykładowym katalogiem i wyróżnionym przyciskiem Zmień.

    Po zmianie katalogu dla subskrypcji zostanie wyświetlony komunikat o powodzeniu.

  6. Wybierz pozycję Przełącz katalogi na stronie subskrypcji, aby przejść do nowego katalogu.

    Zrzut ekranu przedstawiający stronę przełącznika katalogów z przykładowymi informacjami.

    Wyświetlenie wszystkich elementów może potrwać kilka godzin. Jeśli wydaje się, że trwa to zbyt długo, sprawdź filtr subskrypcji globalnej . Upewnij się, że przeniesiona subskrypcja nie jest ukryta. Może być konieczne wylogowanie się z witryny Azure Portal i ponowne zalogowanie się, aby wyświetlić nowy katalog.

    Zmiana katalogu subskrypcji jest operacją na poziomie usługi, więc nie ma wpływu na własność rozliczeń subskrypcji. Aby usunąć oryginalny katalog, musisz przenieść własność rozliczeń subskrypcji do nowego administratora konta. Aby dowiedzieć się więcej na temat przenoszenia własności rozliczeń, zobacz Przenoszenie własności subskrypcji platformy Azure na inne konto.

Kroki po skojarzeniu

Po skojarzeniu subskrypcji z innym katalogiem może być konieczne wykonanie następujących zadań w celu wznowienia operacji:

  1. Jeśli masz jakiekolwiek magazyny kluczy, musisz zmienić identyfikator dzierżawy magazynu kluczy. Aby uzyskać więcej informacji, zobacz Zmienianie identyfikatora dzierżawy magazynu kluczy po przeniesieniu subskrypcji.

  2. W przypadku użycia tożsamości zarządzanych przypisanych przez system dla zasobów należy ponownie włączyć te tożsamości. Jeśli użyto tożsamości zarządzanych przypisanych przez użytkownika, musisz ponownie utworzyć te tożsamości. Po ponownym włączeniu lub ponownym utworzeniu tożsamości zarządzanych należy ponownie ustanowić uprawnienia przypisane do tych tożsamości. Aby uzyskać więcej informacji, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure?.

  3. Jeśli zarejestrowano usługę Azure Stack przy użyciu tej subskrypcji, musisz ponownie zarejestrować się. Aby uzyskać więcej informacji, zobacz Register Azure Stack Hub with Azure(Rejestrowanie usługi Azure Stack Hub za pomocą usługi Azure).

  4. Aby uzyskać więcej informacji, zobacz Transfer an Azure subscription to a different Microsoft Entra directory.

Powiązana zawartość