Asociación o adición de una suscripción de Azure al inquilino de Microsoft Entra

Todas las suscripciones de Azure tienen una relación de confianza con un inquilino de Microsoft Entra. Las suscripciones se basan en este inquilino (directorio) para autenticar y autorizar entidades de seguridad y dispositivos. Cuando expira una suscripción, la instancia de confianza se conserva, pero las entidades de seguridad pierden el acceso a los recursos de Azure. Las suscripciones solo pueden confiar en un único directorio, mientras que un inquilino de Microsoft Entra puede ser de confianza para varias suscripciones.

Cuando un usuario se suscribe a un servicio en la nube de Microsoft, se crea un nuevo inquilino de Microsoft Entra y el usuario se convierte en administrador global. Sin embargo, cuando un propietario de una suscripción une su suscripción a un inquilino existente, el propietario no se asigna al rol de administrador global.

Aunque los usuarios solo pueden tener un único directorio principal de autenticación, los usuarios pueden participar como invitados en varios directorios. Puede ver los directorios principales e invitados para cada usuario en Microsoft Entra ID.

Screenshot that shows the trust relationship between Azure subscriptions and Microsoft Entra directories.

Importante

Al asociar una suscripción con otro directorio, los usuarios que tienen roles asignados mediante el control de acceso basado en rol de Azure pierden el acceso. Los administradores de suscripciones clásicas, incluidos el administrador y los coadministradores del servicio, también pierden el acceso.

El traslado del clúster de Azure Kubernetes Service (AKS) a otra suscripción o el traslado de la suscripción propietaria del clúster a un nuevo inquilino, provoca que el clúster pierda funcionalidad debido a la pérdida de asignaciones de roles y derechos de las entidades de servicio. Para obtener más información sobre AKS, consulte Azure Kubernetes Service (AKS).

Antes de empezar

Para poder asociar o agregar la suscripción, debe seguir los pasos siguientes:

  • Revise la siguiente lista de cambios que se producirán después de asociar o agregar su suscripción e infórmese sobre cómo podría verse afectado:

    • Los usuarios a los que se haya asignado roles mediante Azure RBAC perderán el acceso.
    • Tanto el administrador como los coadministradores del servicio perderán el acceso.
    • Si tiene almacenes de claves, no podrá acceder a ellos y tendrá que repararlos después de la asociación.
    • Si tiene identidades administradas para recursos, como Virtual Machines o Logic Apps, debe volver a habilitarlas o a crearlas después de la asociación.
    • Si tiene una instancia de Azure Stack registrada, tendrá que volver a registrarla después de la asociación.

    Para más información, consulte Transferencia de una suscripción de Azure a otro directorio de Microsoft Entra.

  • Iniciar sesión con una cuenta que:

    • Tiene una asignación de rol Propietario para la suscripción. Para más información sobre la asignación del rol Propietario, consulte Asignaciones de roles de Azure mediante Azure Portal.
    • Exista en el directorio actual y en el nuevo directorio. El directorio actual está asociado a la suscripción. Va a asociar el nuevo directorio a la suscripción. Para más información sobre cómo obtener acceso a otro directorio, consulte Adición de usuarios de colaboración B2B de Microsoft Entra en Azure Portal.
    • Asegúrese de que no usa una suscripción de proveedores de servicios en la nube de Azure (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), una suscripción interna de Microsoft (MS-AZR-0015P) ni una suscripción a Microsoft Azure for Students Starter (MS-AZR-0144P).

Asociación de una suscripción a un directorio

Para asociar una suscripción existente con el identificador de Microsoft Entra ID, siga estos pasos:

  1. Inicie sesión en Azure Portal con la asignación de roles Propietario de la suscripción.

  2. Vaya a Suscripciones.

  3. Seleccione el nombre de la suscripción que desea usar.

  4. Seleccione Cambiar directorio.

    Screenshot that shows the Subscriptions page, with the Change directory option highlighted.

  5. Revise las advertencias que aparecen y, a continuación, seleccione Cambiar.

    Screenshot that shows the Change the directory page with a sample directory and the Change button highlighted.

    Una vez que se cambie el directorio para la suscripción, recibirá un mensaje de confirmación.

  6. Seleccione Cambiar directorios en la página suscripción para ir al nuevo directorio.

    Screenshot that shows the Directory switcher page with sample information.

    Puede tardar varias horas hasta que todo se muestre correctamente. Si parece que tarda demasiado tiempo, compruebe el filtro de suscripción global. Asegúrese de que la suscripción que se ha trasladado no esté oculta. Es posible que tenga que cerrar la sesión de Azure Portal y volver a iniciarla para ver el directorio nuevo.

Cambiar el directorio de suscripción es una operación de nivel de servicio, por lo que no afecta a la propiedad de facturación de suscripción. Para eliminar el directorio original, debe transferir la propiedad de facturación de suscripción a un nuevo administrador de cuenta. Para más información acerca de cómo transferir la propiedad de facturación, vea Transferencia de la propiedad de una suscripción de Azure a otra cuenta.

Pasos posteriores a la asociación

Después de asociar una suscripción a un directorio diferente, puede que tenga que realizar las tareas siguientes para reanudar las operaciones:

Pasos siguientes