將 Azure 訂閱關(guān)聯(lián)或添加到 Azure Active Directory 租戶

Azure訂閱與Azure Active Directory(Azure AD)之間存在信任關(guān)系。訂閱信任Azure AD對(duì)用戶、服務(wù)和設(shè)備執(zhí)行身份驗(yàn)證。

多個(gè)訂閱可以信任同一個(gè)Azure AD目錄。每個(gè)訂閱只能信任一個(gè)目錄。

一個(gè)或多個(gè)Azure訂閱可以與Azure Active Directory(Azure AD)實(shí)例建立信任關(guān)系，以便針對(duì)Azure服務(wù)對(duì)安全主體和設(shè)備進(jìn)行身份驗(yàn)證和授權(quán)。訂閱過(guò)期時(shí)，受信任的Azure AD服務(wù)實(shí)例會(huì)保留，但安全主體將失去對(duì)Azure資源的訪問(wèn)權(quán)限。

當(dāng)用戶注冊(cè)Microsoft云服務(wù)時(shí)，將創(chuàng)建一個(gè)新的Azure AD租戶，并使該用戶成為全局管理員角色的成員。但是，當(dāng)訂閱的所有者將其訂閱加入現(xiàn)有租戶時(shí)，系統(tǒng)不會(huì)將該所有者分配到全局管理員角色。

所有用戶都有一個(gè)用于身份驗(yàn)證的“主”目錄。用戶還可以充當(dāng)其他目錄中的來(lái)賓?？稍贏zure AD中查看每位用戶的主目錄和來(lái)賓目錄。

重要

將訂閱與其他目錄關(guān)聯(lián)時(shí)，如果用戶的角色是使用Azure基于角色的訪問(wèn)控制分配的，則用戶將失去其訪問(wèn)權(quán)限。經(jīng)典訂閱管理員（包括服務(wù)管理員和共同管理員）也會(huì)失去訪問(wèn)權(quán)限。

如果將Azure Kubernetes服務(wù)(AKS)群集移到其他訂閱，或者將擁有該群集的訂閱移到新租戶，該群集將會(huì)由于失去角色分配和服務(wù)主體權(quán)限而丟失功能。有關(guān)AKS的詳細(xì)信息，請(qǐng)參閱Azure Kubernetes服務(wù)(AKS)。

準(zhǔn)備階段

在關(guān)聯(lián)或添加訂閱之前，請(qǐng)執(zhí)行以下任務(wù)：

查看下述在關(guān)聯(lián)或添加訂閱后會(huì)發(fā)生的更改的列表，以及你可能受到的具體影響：

已使用Azure RBAC為其分配了角色的用戶將失去其訪問(wèn)權(quán)限

服務(wù)管理員和共同管理員將失去其訪問(wèn)權(quán)限

如果你有任何密鑰保管庫(kù)，這些密鑰保管庫(kù)將無(wú)法訪問(wèn)，而且你必須在關(guān)聯(lián)后對(duì)其進(jìn)行修復(fù)

如果對(duì)資源（例如虛擬機(jī)或邏輯應(yīng)用）使用任何托管標(biāo)識(shí)，則必須在關(guān)聯(lián)后重新啟用或重新創(chuàng)建這些標(biāo)識(shí)

如果擁有已注冊(cè)的Azure Stack，則將必須在關(guān)聯(lián)后重新注冊(cè)它

有關(guān)詳細(xì)信息，請(qǐng)參閱將Azure訂閱轉(zhuǎn)移到其他Azure AD目錄。

使用符合以下條件的帳戶登錄：

具有該訂閱的所有者角色分配。有關(guān)如何分配所有者角色的信息，請(qǐng)參閱使用Azure門(mén)戶添加或刪除Azure角色分配。

在當(dāng)前目錄和新目錄中存在。當(dāng)前目錄已與訂閱相關(guān)聯(lián)。要將新目錄與訂閱相關(guān)聯(lián)。若要詳細(xì)了解如何獲取其他目錄的訪問(wèn)權(quán)限，請(qǐng)參閱在Azure門(mén)戶中添加Azure Active Directory B2B協(xié)作用戶。

請(qǐng)確保未使用Azure云服務(wù)提供商(CSP)訂閱（MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P）、Microsoft內(nèi)部訂閱(MS-AZR-0015P)或Microsoft Imagine訂閱(MS-AZR-0144P)。

將訂閱關(guān)聯(lián)到目錄

若要將現(xiàn)有訂閱關(guān)聯(lián)到Azure AD目錄，請(qǐng)執(zhí)行以下步驟：

1.登錄，然后從Azure門(mén)戶中的“訂閱”頁(yè)面選擇要使用的訂閱。

2.選擇“更改目錄”。

3.查看出現(xiàn)的任何警告，然后選擇“更改”。

訂閱目錄更改后，會(huì)顯示一條成功消息。

4.選擇訂閱頁(yè)上的“切換目錄”，轉(zhuǎn)到新目錄。

正確顯示所有內(nèi)容可能需要數(shù)小時(shí)。如果時(shí)間看起來(lái)太長(zhǎng)，請(qǐng)查看“全局訂閱篩選器”。確保未隱藏移動(dòng)的訂閱?？赡苄枰NAzure門(mén)戶并重新登錄才能查看新目錄。

更改訂閱目錄是服務(wù)級(jí)操作，不會(huì)影響訂閱的賬單所有權(quán)。若要?jiǎng)h除原始目錄，必須將訂閱的賬單所有權(quán)轉(zhuǎn)讓給新的帳戶管理員。若要詳細(xì)了解如何轉(zhuǎn)讓賬單所有權(quán)，請(qǐng)參閱將Azure訂閱所有權(quán)轉(zhuǎn)讓給其他帳戶。

關(guān)聯(lián)后的步驟

將訂閱關(guān)聯(lián)到不同的目錄后，可能需要執(zhí)行以下任務(wù)來(lái)恢復(fù)操作：

如果有任何密鑰保管庫(kù)，則必須更改該密鑰保管庫(kù)租戶ID。有關(guān)詳細(xì)信息，請(qǐng)參閱在訂閱移動(dòng)后更改密鑰保管庫(kù)租戶ID。

如果對(duì)資源使用了系統(tǒng)分配的托管標(biāo)識(shí)，則必須重新啟用這些標(biāo)識(shí)。如果使用了用戶分配的托管標(biāo)識(shí)，則必須重新創(chuàng)建這些標(biāo)識(shí)。重新啟用或重新創(chuàng)建托管標(biāo)識(shí)后，必須重新建立分配給這些標(biāo)識(shí)的權(quán)限。有關(guān)詳細(xì)信息，請(qǐng)參閱什么是Azure資源的托管標(biāo)識(shí)？。

如果已使用此訂閱注冊(cè)了Azure Stack，則必須重新注冊(cè)。有關(guān)詳細(xì)信息，請(qǐng)參閱將Azure Stack注冊(cè)到Azure。

有關(guān)詳細(xì)信息，請(qǐng)參閱將Azure訂閱轉(zhuǎn)移到其他Azure AD目錄。