Изменить

Поделиться через

Связывание или добавление подписки Azure в клиент Microsoft Entra

  • Практическое руководство

Все подписки Azure имеют отношение доверия с клиентом Microsoft Entra. Подписки используют этот клиент (каталог) для проверки подлинности и авторизации субъектов безопасности и устройств. После истечения срока действия подписки доверенный экземпляр остается, но субъекты безопасности теряют доступ к ресурсам Azure. Подписки могут доверять только одному каталогу, а один клиент Microsoft Entra может быть доверенным несколькими подписками.

Когда пользователь регистрируется в облачной службе Майкрософт, создается новый клиент Microsoft Entra, а пользователь — глобальный администратор. Однако, когда владелец подписки присоединяется к существующему клиенту, владелец не назначается роли глобального администратора.

Хотя у пользователей может быть только один каталог проверки подлинности домашнего, пользователи могут участвовать в качестве гостей в нескольких каталогах. Вы можете просматривать как домашние, так и гостевые каталоги для каждого пользователя в идентификаторе Microsoft Entra.

снимок экрана, на котором показана связь доверия между подписками Azure и каталогами Microsoft Entra.

Важный

Если подписка связана с другим каталогом, пользователи, которым назначены роли с помощью управления доступом на основе ролей Azure, потерять доступ. Администраторы классических подписок, включая администратора службы и соадминистратора, также теряют доступ.

Перемещение кластера Службы Azure Kubernetes (AKS) в другую подписку или перемещение подписки на кластер в новый клиент приводит к потере функциональности кластера из-за потери назначений ролей и прав субъекта-службы. Дополнительные сведения об AKS см. в службе Azure Kubernetes (AKS).

Необходимые компоненты

Прежде чем связать или добавить подписку, сделайте следующее:

  • Ознакомьтесь со следующим списком изменений, которые будут возникать после связывания или добавления подписки, а также о том, как это может повлиять:

    • Пользователи, назначенные ролям с помощью Azure RBAC, теряют доступ.
    • Администратор службы и Co-Administrators потеряют доступ.
    • Если у вас есть хранилища ключей, они будут недоступны, и вам придется исправить их после сопоставления.
    • Если у вас есть управляемые удостоверения для таких ресурсов, как виртуальные машины или Logic Apps, необходимо повторно включить или повторно создать их после сопоставления.
    • Если у вас есть зарегистрированный Azure Stack, вам придется повторно зарегистрировать его после сопоставления.

    Дополнительные сведения см. в статье Перенос подписки Azure в другой каталог Microsoft Entra.

  • Войдите с помощью учетной записи, которая:

Связывание подписки с каталогом

Чтобы связать существующую подписку с идентификатором Microsoft Entra, выполните следующие действия.

  1. Войдите на портал Azure с помощью назначения роли владельца для подписки.

  2. Перейдите к подпискам.

  3. Выберите имя подписки, которую вы хотите использовать.

  4. Выберите Изменить каталог.

    снимок экрана со страницей

  5. Просмотрите все отображаемые предупреждения, а затем выберите Изменить.

    снимок экрана, на котором показана страница

    После изменения каталога для подписки вы получите сообщение об успешном выполнении.

  6. Выберите каталоги Switch на странице подписки, чтобы перейти в новый каталог.

    снимок экрана, на котором показана страница переключателя каталогов с примерами сведений.

    Это может занять несколько часов, чтобы все отображалось правильно. Если кажется, что это занимает слишком много времени, проверьте глобальный фильтр подписки. Убедитесь, что перемещаемая подписка не скрыта. Чтобы увидеть новый каталог, может потребоваться выйти из портала Azure и войти в систему.

    Изменение каталога подписки — это операция уровня обслуживания, поэтому она не влияет на владение выставлением счетов за подписку. Чтобы удалить исходный каталог, необходимо передать право владения выставлением счетов подписки новому администратору учетной записи. Дополнительные сведения о передаче права владения выставлением счетов см. в статье Передача права владения подпиской Azure на другую учетную запись.

Этапы после связи

После связывания подписки с другим каталогом может потребоваться выполнить следующие задачи, чтобы возобновить операции:

  1. Если у вас есть хранилища ключей, необходимо изменить идентификатор клиента хранилища ключей. Дополнительные сведения см. в статье Изменение идентификатора клиента хранилища ключей после перемещения подписки.

  2. При использовании управляемых удостоверений, назначенных системой для ресурсов, необходимо повторно включить эти удостоверения. Если вы использовали управляемые удостоверения, назначаемые пользователем, необходимо повторно создать эти удостоверения. После повторного включения или повторного создания управляемых удостоверений необходимо повторно установить разрешения, назначенные этим удостоверениям. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure?.

  3. Если вы зарегистрировали Azure Stack с помощью этой подписки, необходимо повторно зарегистрировать. Дополнительные сведения см. в статье Регистрация Azure Stack Hub в Azure.

  4. Дополнительные сведения см. в статье Перенос подписки Azure в другой каталог Microsoft Entra.

Связанный контент