Edytuj

Udostępnij za pośrednictwem

Kojarzenie lub dodawanie subskrypcji platformy Azure do dzierżawy usługi Microsoft Entra

  • Porady

Wszystkie subskrypcje platformy Azure mają relację zaufania z dzierżawą firmy Microsoft Entra. Subskrypcje korzystają z tej dzierżawy (katalogu) w celu uwierzytelniania i autoryzacji podmiotów zabezpieczeń i urządzeń. Gdy subskrypcja wygaśnie, zaufane wystąpienie pozostanie, ale podmioty zabezpieczeń utracą dostęp do zasobów platformy Azure. Subskrypcje mogą ufać tylko jednemu katalogowi, podczas gdy jedna dzierżawa firmy Microsoft Entra może być zaufana przez wiele subskrypcji.

Gdy użytkownik zarejestruje się w usłudze w chmurze firmy Microsoft, zostanie utworzona nowa dzierżawa usługi Microsoft Entra, a użytkownik zostanie utworzony jako globalny Administracja istrator. Jednak gdy właściciel subskrypcji dołącza swoją subskrypcję do istniejącej dzierżawy, właściciel nie jest przypisywany do roli Administrator globalny.

Chociaż użytkownicy mogą mieć tylko jeden katalog domowy uwierzytelniania, użytkownicy mogą uczestniczyć jako goście w wielu katalogach. W identyfikatorze Microsoft Entra ID można zobaczyć zarówno katalogi domowe, jak i gościnne dla każdego użytkownika.

Zrzut ekranu przedstawiający relację zaufania między subskrypcjami platformy Azure i katalogami Firmy Microsoft Entra.

Ważne

Gdy subskrypcja jest skojarzona z innym katalogiem, użytkownicy, którzy mają przypisane role przy użyciu kontroli dostępu opartej na rolach platformy Azure, utracą dostęp. Klasyczni administratorzy subskrypcji, w tym administrator usługi i współadministratorzy, również utracą dostęp.

Przeniesienie klastra usługi Azure Kubernetes Service (AKS) do innej subskrypcji lub przeniesienie subskrypcji, do której należy klaster, do nowej dzierżawy powoduje utratę funkcjonalności klastra z powodu utraconych przypisań ról i uprawnień jednostki usługi. Aby uzyskać więcej informacji na temat usługi AKS, zobacz Azure Kubernetes Service (AKS).

Wymagania wstępne

Przed skojarzeniem lub dodaniem subskrypcji wykonaj następujące czynności:

  • Przejrzyj następującą listę zmian, które wystąpią po skojarzeniu lub dodaniu subskrypcji, oraz ich konsekwencje:

    • Użytkownicy, którym przypisano role przy użyciu kontroli dostępu na podstawie ról platformy Azure, utracą dostęp.
    • Administrator usługi oraz współadministratorzy utracą dostęp.
    • Jeśli masz jakieś magazyny kluczy, będą one niedostępne i trzeba będzie je naprawić po skojarzeniu.
    • Jeśli masz jakiekolwiek tożsamości zarządzane dla zasobów, takich jak Virtual Machines lub Logic Apps, po skojarzeniu musisz je ponownie włączyć lub utworzyć.
    • Jeśli masz zarejestrowaną usługę Azure Stack, po skojarzeniu konieczne będzie jej ponowne zarejestrowanie.

    Aby uzyskać więcej informacji, zobacz Przenieś subskrypcję Azure do innego katalogu Microsoft Entra.

  • Zaloguj się przy użyciu konta, które:

Kojarzenie subskrypcji z katalogiem

Aby skojarzyć istniejącą subskrypcję z identyfikatorem Entra firmy Microsoft, wykonaj następujące kroki:

  1. Zaloguj się do witryny Azure Portal przy użyciu przypisania roli Właściciel dla subskrypcji.

  2. Przejdź do obszaru Subskrypcje.

  3. Wybierz nazwę subskrypcji, której chcesz użyć.

  4. Wybierz opcję Zmień katalog.

    Zrzut ekranu przedstawiający stronę Subskrypcje z wyróżnioną opcją Zmień katalog.

  5. Przejrzyj wszelkie wyświetlane ostrzeżenia, a następnie wybierz pozycję Zmień.

    Zrzut ekranu przedstawiający stronę Zmień katalog z przykładowym katalogiem i wyróżnionym przyciskiem Zmień.

    Po zmianie katalogu dla subskrypcji otrzymasz komunikat o powodzeniu.

  6. Na stronie subskrypcji wybierz pozycję Przełącz katalogi, aby przejść do nowego katalogu.

    Zrzut ekranu przedstawiający stronę przełącznika katalogów z przykładowymi informacjami.

    Może upłynąć kilka godzin, zanim wszystkie dane zostaną prawidłowo wyświetlone. Jeśli wydaje się, że trwa to zbyt długo, sprawdź filtr Subskrypcji globalnej. Upewnij się, że przeniesiona subskrypcja nie jest ukryta. Aby wyświetlić nowy katalog, może być konieczne wylogowanie się z witryny Azure Portal i ponowne zalogowanie się.

    Zmiana katalogu subskrypcji jest operacją na poziomie usługi, więc nie ma wpływu na własność rozliczeń subskrypcji. Aby usunąć oryginalny katalog, należy przenieść własność rozliczeń subskrypcji na nowego administratora konta. Aby dowiedzieć się więcej na temat przenoszenia własności rozliczeń, zobacz Przenoszenie własności subskrypcji platformy Azure na inne konto.

Kroki po skojarzeniu

Po skojarzeniu subskrypcji z innym katalogiem może być konieczne wykonanie następujących zadań w celu wznowienia operacji:

  1. Jeśli masz jakiekolwiek magazyny kluczy, musisz zmienić identyfikator dzierżawy magazynu kluczy. Aby uzyskać więcej informacji, zobacz Zmienianie identyfikatora dzierżawy magazynu kluczy po przeniesieniu subskrypcji.

  2. W przypadku użycia tożsamości zarządzanych przypisanych przez system dla zasobów należy ponownie włączyć te tożsamości. Jeśli użyto tożsamości zarządzanych przypisanych przez użytkownika, musisz ponownie utworzyć te tożsamości. Po ponownym włączeniu lub ponownym utworzeniu tożsamości zarządzanych należy ponownie ustanowić uprawnienia przypisane do tych tożsamości. Aby uzyskać więcej informacji, zobacz Czym są tożsamości zarządzane dla zasobów platformy Azure?.

  3. Jeśli zarejestrowano usługę Azure Stack przy użyciu tej subskrypcji, musisz ponownie zarejestrować się. Aby uzyskać więcej informacji, zobacz Rejestrowanie usługi Azure Stack Hub na platformie Azure.

  4. Aby uzyskać więcej informacji, zobacz Przenieś subskrypcję Azure do innego katalogu Microsoft Entra.

Powiązana zawartość