Associare o aggiungere una sottoscrizione di Azure al tenant di Azure Active Directory

Una sottoscrizione di Azure ha una relazione di trust con Azure Active Directory (Azure AD). Una sottoscrizione considera attendibile Azure AD autenticare utenti, servizi e dispositivi.

Più sottoscrizioni possono considerare attendibile la stessa Azure AD directory. Ogni sottoscrizione può considerare attendibile solo una singola directory.

Una o più sottoscrizioni di Azure possono stabilire una relazione di trust con un'istanza di Azure Active Directory (Azure AD) per autenticare e autorizzare le entità di sicurezza e i dispositivi nei servizi di Azure. Quando una sottoscrizione scade, l'istanza attendibile del servizio Azure AD, ma le entità di sicurezza perdono l'accesso alle risorse di Azure.

Quando un utente esegue l'accesso a un servizio cloud Microsoft, viene creato un nuovo tenant Azure AD e l'utente viene impostato come membro del ruolo amministratore globale. Tuttavia, quando un proprietario di una sottoscrizione aggiunge la propria sottoscrizione a un tenant esistente, il proprietario non viene assegnato al ruolo di amministratore globale.

Tutti gli utenti hanno una singola home directory per l'autenticazione. Gli utenti possono anche essere guest in altre directory. È possibile visualizzare sia la home directory che la directory guest per ogni utente in Azure AD.

Screenshot che mostra la relazione di trust tra le sottoscrizioni di Azure e le directory di Azure Active Directory.

Importante

Quando si associa una sottoscrizione a una directory diversa, gli utenti a cui sono assegnati ruoli tramite il controllo degli accessi in base al ruolo di Azure perdono l'accesso. Anche gli amministratori delle sottoscrizioni classiche, tra cui l'amministratore del servizio e i coamministratori, perdono l'accesso.

Lo spostamento del cluster servizio Azure Kubernetes (AKS) in una sottoscrizione diversa o lo spostamento della sottoscrizione proprietaria del cluster in un nuovo tenant causa la perdita di funzionalità del cluster a causa della perdita delle assegnazioni di ruolo e dei diritti dell'entità servizio. Per altre informazioni sul servizio AKS, vedere servizio Azure Kubernetes (AKS).

Prima di iniziare

Prima di poter associare o aggiungere la sottoscrizione, eseguire le attività seguenti:

  • Esaminare l'elenco seguente delle modifiche che si verificheranno dopo l'associazione o l'aggiunta della sottoscrizione e le eventuali modifiche:

    • Gli utenti a cui sono stati assegnati ruoli con il controllo degli accessi in base al ruolo di Azure perderanno l'accesso.
    • L'amministratore del servizio e Co-Administrators perderanno l'accesso.
    • Se sono presenti insiemi di credenziali delle chiavi, saranno inaccessibili e sarà necessario correggerli dopo l'associazione.
    • Se sono presenti identità gestite per risorse come macchine virtuali o app per la logica, è necessario abilitarle nuovamente o ricrearle dopo l'associazione.
    • Se si dispone di un Azure Stack registrato, sarà necessario registrarlo nuovamente dopo l'associazione.
    • Per altre informazioni, vedere Trasferire una sottoscrizione di Azure in una directory di Azure AD diversa.
  • Accedere con un account che:

    • Ha un'assegnazione di ruolo Proprietario per la sottoscrizione. Per informazioni su come assegnare il ruolo Proprietario, vedere Assegnare ruoli di Azure usando il portale di Azure.
    • Esiste sia nella directory corrente che nella nuova directory. La directory corrente è associata alla sottoscrizione. La nuova directory verrà associata alla sottoscrizione. Per altre informazioni su come ottenere l'accesso a un'altra directory, vedere Aggiungere Azure Active Directory utenti di Collaborazione B2B nel portale di Azure.
  • Assicurarsi di non usare una sottoscrizione di Azure Cloud Service Provider (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), una sottoscrizione interna Microsoft (MS-AZR-0015P) o una sottoscrizione Microsoft Azure for Students Starter (MS-AZR-0144P).

Associare una sottoscrizione a una directory

Per associare una sottoscrizione esistente alla directory Azure AD, seguire questa procedura:

  1. Accedere e selezionare la sottoscrizione che si vuole usare dalla pagina Sottoscrizioni in portale di Azure.

  2. Selezionare Cambia directory.

    Screenshot che mostra la pagina Sottoscrizioni con l'opzione Cambia directory evidenziata.

  3. Esaminare gli avvisi visualizzati e quindi selezionare Cambia.

    Screenshot che mostra la pagina Cambia directory con una directory di esempio e il pulsante Cambia evidenziato.

    Dopo aver modificato la directory per la sottoscrizione, verrà visualizzato un messaggio di operazione riuscita.

  4. Selezionare Cambia directory nella pagina della sottoscrizione per passare alla nuova directory.

    Screenshot che mostra la pagina Selezione directory con informazioni di esempio.

    La visualizzazione corretta di tutti gli elementi può richiedere diverse ore. Se sembra che l'operazione abbia un tempo troppo lungo, controllare il filtro sottoscrizione globale. Assicurarsi che la sottoscrizione spostata non sia nascosta. Potrebbe essere necessario disconnettersi dal portale di Azure e accedere di nuovo per visualizzare la nuova directory.

La modifica della directory della sottoscrizione è un'operazione a livello di servizio, pertanto non influisce sulla proprietà della fatturazione della sottoscrizione. Per eliminare la directory originale, è necessario trasferire la proprietà della fatturazione della sottoscrizione a un nuovo amministratore account. Per altre informazioni sul trasferimento della proprietà della fatturazione, vedere Trasferire la proprietà di una sottoscrizione di Azure a un altro account.

Passaggi di post-associazione

Dopo aver associato una sottoscrizione a una directory diversa, potrebbe essere necessario eseguire le attività seguenti per riprendere le operazioni:

Passaggi successivi