將 Azure 訂閱關(guān)聯(lián)或添加到 Azure Active Directory 租戶

Azure訂閱與Azure Active Directory(Azure AD)之間存在信任關(guān)系。訂閱信任Azure AD對用戶、服務(wù)和設(shè)備執(zhí)行身份驗證。

多個訂閱可以信任同一個Azure AD目錄。每個訂閱只能信任一個目錄。

一個或多個Azure訂閱可以與Azure Active Directory(Azure AD)實例建立信任關(guān)系，以便針對Azure服務(wù)對安全主體和設(shè)備進(jìn)行身份驗證和授權(quán)。訂閱過期時，受信任的Azure AD服務(wù)實例會保留，但安全主體將失去對Azure資源的訪問權(quán)限。

當(dāng)用戶注冊Microsoft云服務(wù)時，將創(chuàng)建一個新的Azure AD租戶，并使該用戶成為全局管理員角色的成員。但是，當(dāng)訂閱的所有者將其訂閱加入現(xiàn)有租戶時，系統(tǒng)不會將該所有者分配到全局管理員角色。

所有用戶都有一個用于身份驗證的“主”目錄。用戶還可以充當(dāng)其他目錄中的來賓?？稍贏zure AD中查看每位用戶的主目錄和來賓目錄。

重要

將訂閱與其他目錄關(guān)聯(lián)時，如果用戶的角色是使用Azure基于角色的訪問控制分配的，則用戶將失去其訪問權(quán)限。經(jīng)典訂閱管理員（包括服務(wù)管理員和共同管理員）也會失去訪問權(quán)限。

如果將Azure Kubernetes服務(wù)(AKS)群集移到其他訂閱，或者將擁有該群集的訂閱移到新租戶，該群集將會由于失去角色分配和服務(wù)主體權(quán)限而丟失功能。有關(guān)AKS的詳細(xì)信息，請參閱Azure Kubernetes服務(wù)(AKS)。

準(zhǔn)備階段

在關(guān)聯(lián)或添加訂閱之前，請執(zhí)行以下任務(wù)：

查看下述在關(guān)聯(lián)或添加訂閱后會發(fā)生的更改的列表，以及你可能受到的具體影響：

已使用Azure RBAC為其分配了角色的用戶將失去其訪問權(quán)限

服務(wù)管理員和共同管理員將失去其訪問權(quán)限

如果你有任何密鑰保管庫，這些密鑰保管庫將無法訪問，而且你必須在關(guān)聯(lián)后對其進(jìn)行修復(fù)

如果對資源（例如虛擬機(jī)或邏輯應(yīng)用）使用任何托管標(biāo)識，則必須在關(guān)聯(lián)后重新啟用或重新創(chuàng)建這些標(biāo)識

如果擁有已注冊的Azure Stack，則將必須在關(guān)聯(lián)后重新注冊它

有關(guān)詳細(xì)信息，請參閱將Azure訂閱轉(zhuǎn)移到其他Azure AD目錄。

使用符合以下條件的帳戶登錄：

具有該訂閱的所有者角色分配。有關(guān)如何分配所有者角色的信息，請參閱使用Azure門戶添加或刪除Azure角色分配。

在當(dāng)前目錄和新目錄中存在。當(dāng)前目錄已與訂閱相關(guān)聯(lián)。要將新目錄與訂閱相關(guān)聯(lián)。若要詳細(xì)了解如何獲取其他目錄的訪問權(quán)限，請參閱在Azure門戶中添加Azure Active Directory B2B協(xié)作用戶。

請確保未使用Azure云服務(wù)提供商(CSP)訂閱（MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P）、Microsoft內(nèi)部訂閱(MS-AZR-0015P)或Microsoft Imagine訂閱(MS-AZR-0144P)。

將訂閱關(guān)聯(lián)到目錄

若要將現(xiàn)有訂閱關(guān)聯(lián)到Azure AD目錄，請執(zhí)行以下步驟：

1.登錄，然后從Azure門戶中的“訂閱”頁面選擇要使用的訂閱。

2.選擇“更改目錄”。

3.查看出現(xiàn)的任何警告，然后選擇“更改”。

訂閱目錄更改后，會顯示一條成功消息。

4.選擇訂閱頁上的“切換目錄”，轉(zhuǎn)到新目錄。

正確顯示所有內(nèi)容可能需要數(shù)小時。如果時間看起來太長，請查看“全局訂閱篩選器”。確保未隱藏移動的訂閱?？赡苄枰NAzure門戶并重新登錄才能查看新目錄。

更改訂閱目錄是服務(wù)級操作，不會影響訂閱的賬單所有權(quán)。若要刪除原始目錄，必須將訂閱的賬單所有權(quán)轉(zhuǎn)讓給新的帳戶管理員。若要詳細(xì)了解如何轉(zhuǎn)讓賬單所有權(quán)，請參閱將Azure訂閱所有權(quán)轉(zhuǎn)讓給其他帳戶。

關(guān)聯(lián)后的步驟

將訂閱關(guān)聯(lián)到不同的目錄后，可能需要執(zhí)行以下任務(wù)來恢復(fù)操作：

如果有任何密鑰保管庫，則必須更改該密鑰保管庫租戶ID。有關(guān)詳細(xì)信息，請參閱在訂閱移動后更改密鑰保管庫租戶ID。

如果對資源使用了系統(tǒng)分配的托管標(biāo)識，則必須重新啟用這些標(biāo)識。如果使用了用戶分配的托管標(biāo)識，則必須重新創(chuàng)建這些標(biāo)識。重新啟用或重新創(chuàng)建托管標(biāo)識后，必須重新建立分配給這些標(biāo)識的權(quán)限。有關(guān)詳細(xì)信息，請參閱什么是Azure資源的托管標(biāo)識？。

如果已使用此訂閱注冊了Azure Stack，則必須重新注冊。有關(guān)詳細(xì)信息，請參閱將Azure Stack注冊到Azure。

有關(guān)詳細(xì)信息，請參閱將Azure訂閱轉(zhuǎn)移到其他Azure AD目錄。