Editar

Partilhar via

Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra

  • Procedimentos

Todas as assinaturas do Azure têm uma relação de confiança com um locatário do Microsoft Entra. As subscrições dependem deste inquilino (diretório) para autenticar e autorizar entidades de segurança e dispositivos. Quando uma assinatura expira, a instância confiável permanece, mas as entidades de segurança perdem o acesso aos recursos do Azure. As assinaturas só podem confiar em um único diretório, enquanto um locatário do Microsoft Entra pode ser confiável por várias assinaturas.

Quando um usuário se inscreve em um serviço de nuvem da Microsoft, um novo locatário do Microsoft Entra é criado e o usuário se torna um Administrador Global. No entanto, quando um proprietário de uma subscrição associa a sua subscrição a um inquilino existente, o proprietário não é atribuído à função de Administrador Global.

Embora os usuários possam ter apenas uma única autenticação diretório inicial, os usuários podem participar como convidados em vários diretórios. Você pode ver os diretórios base e convidado de cada usuário no Microsoft Entra ID.

Captura de ecrã que mostra a relação de confiança entre as subscrições do Azure e os diretórios do Microsoft Entra.

Importante

Quando uma assinatura é associada a um diretório diferente, os usuários que têm funções atribuídas usando controle de acesso baseado em função do Azure perder seu acesso. Os administradores de subscrição clássicos, incluindo o Administrador de Serviços e os Coadministradores, também perdem acesso.

Mover seu cluster do Serviço Kubernetes do Azure (AKS) para uma assinatura diferente ou mover a assinatura proprietária do cluster para um novo locatário faz com que o cluster perca a funcionalidade devido à perda de atribuições de função e direitos da entidade de serviço. Para obter mais informações sobre o AKS, consulte Serviço Kubernetes do Azure (AKS).

Pré-requisitos

Antes de associar ou adicionar sua assinatura, execute as seguintes etapas:

  • Reveja a seguinte lista de alterações que ocorrerão depois de associar ou adicionar a sua subscrição e como poderá ser afetado:

    • Os usuários que receberam funções usando o RBAC do Azure perdem seu acesso.
    • O administrador de serviços e Co-Administrators perderão o acesso.
    • Se você tiver cofres de chaves, eles ficarão inacessíveis e você terá que corrigi-los após a associação.
    • Se você tiver identidades gerenciadas para recursos como Máquinas Virtuais ou Aplicativos Lógicos, deverá reativá-las ou recriá-las após a associação.
    • Se você tiver um Azure Stack registrado, terá que registrá-lo novamente após a associação.

    Para obter mais informações, consulte Transferir uma assinatura do Azure para um diretório diferente do Microsoft Entra.

  • Inicie sessão com uma conta que:

    • Tem um Proprietário atribuição de função para a assinatura. Para obter informações sobre como atribuir a função de Proprietário, consulte Atribuir funções do Azure usando o portal do Azure.
    • Existe no diretório atual e no novo diretório. O diretório atual está associado à assinatura. Você associa o novo diretório à assinatura. Para obter mais informações sobre como obter acesso a outro diretório, consulte Adicionar usuários de colaboração B2B do Microsoft Entra no portal do Azure.
    • Certifique-se de que não está a utilizar uma subscrição do Azure Cloud Service Providers (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), uma subscrição Microsoft Internal (MS-AZR-0015P) ou uma subscrição do Microsoft Azure for Students Starter (MS-AZR-0144P).

Associar uma assinatura a um diretório

Para associar uma subscrição existente à sua ID do Microsoft Entra, siga estes passos:

  1. Assine a do portal do Azure com a atribuição de função de Proprietário para a assinatura.

  2. Navegue até Assinaturas.

  3. Selecione o nome da subscrição que pretende utilizar.

  4. Selecione Alterar diretório.

    Captura de ecrã que mostra a página Subscrições, com a opção Alterar diretório realçada.

  5. Reveja todos os avisos apresentados e, em seguida, selecione Alterar.

    Captura de tela que mostra a página Alterar o diretório com um diretório de exemplo e o botão Alterar realçado.

    Depois que o diretório for alterado para a assinatura, você receberá uma mensagem de sucesso.

  6. Selecione Alternar diretórios na página de assinatura para ir para o novo diretório.

    Captura de tela que mostra a página do seletor de diretório com informações de exemplo.

    Pode levar várias horas para que tudo apareça corretamente. Se parecer que está a demorar demasiado tempo, verifique o filtro de subscrição Global. Certifique-se de que a subscrição movida não está oculta. Talvez seja necessário sair do portal do Azure e entrar novamente para ver o novo diretório.

    Alterar o diretório de assinatura é uma operação de nível de serviço, portanto, não afeta a propriedade de cobrança da assinatura. Para excluir o diretório original, você deve transferir a propriedade da cobrança da assinatura para um novo administrador de conta. Para saber mais sobre como transferir a propriedade da cobrança, consulte Transferir a propriedade de uma assinatura do Azure para outra conta.

Etapas pós-associação

Depois de associar uma assinatura a um diretório diferente, talvez seja necessário executar as seguintes tarefas para retomar as operações:

  1. Se tiver cofres de chaves, tem de alterar o ID de inquilino do cofre de chaves. Para obter mais informações, consulte Alterar um ID de locatário do cofre de chaves após uma mudança de assinatura.

  2. Se você usou Identidades Gerenciadas atribuídas pelo sistema para recursos, deverá reativar essas identidades. Se você usou Identidades Gerenciadas atribuídas pelo usuário, deverá recriar essas identidades. Depois de reativar ou recriar as Identidades Gerenciadas, você deve restabelecer as permissões atribuídas a essas identidades. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure?.

  3. Se você registrou um Azure Stack usando essa assinatura, deverá se registrar novamente. Para obter mais informações, consulte Registrar o Azure Stack Hub com o Azure.

  4. Para obter mais informações, consulte Transferir uma assinatura do Azure para um diretório diferente do Microsoft Entra.

Conteúdos relacionados