Azure サブスクリプションを Azure Active Directory テナントに関連付けるまたは追加するAssociate or add an Azure subscription to your Azure Active Directory tenant

Azure サブスクリプションには、Azure Active Directory (Azure AD) との間に信頼関係があります。つまり、サブスクリプションは Azure AD を信頼することでユーザー、サービス、デバイスを認証します。An Azure subscription has a trust relationship with Azure Active Directory (Azure AD), which means that the subscription trusts Azure AD to authenticate users, services, and devices. 複数のサブスクリプションが同じ Azure AD ディレクトリを信頼することはできますが、1 つのサブスクリプションが信頼できるディレクトリは 1 つに限られます。Multiple subscriptions can trust the same Azure AD directory, but each subscription can only trust a single directory.

サブスクリプションの有効期限が切れた場合、サブスクリプションに関連付けられた他のすべてのリソースへのアクセスもできなくなります。If your subscription expires, you lose access to all the other resources associated with the subscription. ただし、Azure AD ディレクトリは Azure に残るため、別の Azure サブスクリプションを使用してディレクトリの関連付けおよび管理を行うことができます。However, the Azure AD directory remains in Azure, letting you associate and manage the directory using a different Azure subscription.

すべてのユーザーに、認証のための ホーム ディレクトリが 1 つあります。All of your users have a single home directory for authentication. ただし、ユーザーは、他のディレクトリのゲストになることもできます。However, your users can also be guests in other directories. Azure AD では、各ユーザーのホーム ディレクトリとゲスト ディレクトリの両方を確認できます。You can see both the home and guest directories for each user in Azure AD.

重要

サブスクリプションを別のディレクトリに関連付けると、ロールベースのアクセス制御 (RBAC) を使用してロールが割り当てられているユーザーはアクセスできなくなります。When you associate a subscription to a different directory, users that have roles assigned using role-based access control (RBAC) will lose their access. 従来のサブスクリプション管理者 (サービス管理者と共同管理者) もアクセスできなくなります。Classic subscription administrators (Service Administrator and Co-Administrators) will also lose access.

また、Azure Kubernetes Service (AKS) クラスターを別のサブスクリプションに移したり、クラスターを所有するサブスクリプションを新しいテナントに移したりすると、ロールの割り当てやサービス プリンシパルの権限が失われるため、クラスターの機能が失われることになります。Additionally, moving your Azure Kubernetes Service (AKS) cluster to a different subscription, or moving the cluster-owning subscription to a new tenant, causes the cluster to lose functionality due to lost role assignments and service principals rights. AKS の詳細については、「Azure Kubernetes Service (AKS)」を参照してください。For more information about AKS, see Azure Kubernetes Service (AKS).

開始する前にBefore you begin

サブスクリプションの関連付けまたは追加を行う前に、次のタスクを実行する必要があります。Before you can associate or add your subscription, you must perform the following tasks:

  1. 次の変更と影響の一覧を確認してください。Review the following list of changes and how you might be affected:

    • RBAC を使用してロールが割り当てられているユーザーはアクセスできなくなるUsers that have been assigned roles using RBAC will lose their access
    • サービス管理者と共同管理者はアクセスできなくなるService Administrator and Co-Administrators will lose access
    • キー コンテナーがある場合はアクセスできなくなり、関連付けを行った後にそれらの修正が必要になるIf you have any key vaults, they'll be inaccessible and you'll have to fix them after association
    • Virtual Machines や Logic Apps などのリソースのマネージド ID を持っている場合は、関連付け後にそれらを再度有効にするか再作成する必要があるIf you have any managed identities for resources such as Virtual Machines or Logic Apps, you'll have to re-enable or recreate them after the association
    • 登録されている Azure Stack がある場合は、関連付けを行った後に再登録が必要になるIf you have a registered Azure Stack, you'll have to re-register it after association
  2. 次のようなアカウントを使用してサインインします。Sign in using an account that:

  3. Azure クラウド サービス プロバイダー (CSP) サブスクリプション (MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft 内部サブスクリプション (MS-AZR-0015P)、Microsoft Imagine サブスクリプション (MS-AZR-0144P) を使用していないことを確認します。Make sure you're not using an Azure Cloud Service Providers (CSP) subscription (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), a Microsoft Internal subscription (MS-AZR-0015P), or a Microsoft Imagine subscription (MS-AZR-0144P).

既存のサブスクリプションを Azure AD ディレクトリに関連付けるにはTo associate an existing subscription to your Azure AD directory

  1. Azure portal にサインインし、[サブスクリプション] ページで使用するサブスクリプションを選択します。Sign in and select the subscription you want to use from the Subscriptions page in Azure portal.

  2. [ディレクトリの変更] を選択します。Select Change directory.

    [ディレクトリの変更] オプションが強調表示された [サブスクリプション] ページ

  3. 表示されたすべての警告を確認してから、 [変更] を選択します。Review any warnings that appear, and then select Change.

    ディレクトリの変更先が表示された [ディレクトリの変更] ページ

    サブスクリプションのディレクトリが変更され、成功メッセージが表示されます。The directory is changed for the subscription and you get a success message.

    ディレクトリ変更の成功メッセージ

  4. ディレクトリ スイッチャーを使用して、新しいディレクトリに移動します。Use the Directory switcher to go to your new directory. すべてが適切に表示されるまでに数時間かかる場合があります。It can take several hours for everything to show up properly. 時間がかかりすぎると思われる場合は、移動したサブスクリプションの [グローバルなサブスクリプション フィルター] をチェックして、単に隠れている可能性がないか確認してください。If it seems to be taking too long, make sure you check the Global subscription filter for the moved subscription, to make sure it's not simply hidden.

    サンプル情報が含まれたディレクトリ スイッチャーのページ

サブスクリプションのディレクトリの変更はサービス レベルの操作であるため、サブスクリプションの課金所有権には影響しません。Changing the subscription directory is a service-level operation, so it doesn't affect subscription billing ownership. アカウント管理者は、引き続きアカウント センターからサービス管理者を変更することができます。The Account Admin can still change the Service Admin from the Account Center. 元のディレクトリを削除するには、新しいアカウント管理者にサブスクリプションの課金所有権を譲渡する必要があります。課金所有権を別のアカウントに譲渡するには、「Azure サブスクリプションの所有権を別のアカウントに譲渡する」を参照してください。To delete the original directory, you must transfer the subscription billing ownership to a new Account Admin. To learn more about transferring billing ownership, see Transfer ownership of an Azure subscription to another account.

関連付けの後の手順Post association steps

サブスクリプションを別のディレクトリに関連付けた後、操作を再開するために実行しなければならない追加手順がある場合があります。After you associate a subscription to a different directory, there might be additional steps that you must perform to resume operations.

  1. キー コンテナーがある場合は、キー コンテナーのテナント ID を変更する必要があります。If you have any key vaults, you must change the key vault tenant ID. 詳細については、「サブスクリプション移行後のキー コンテナー テナント ID の変更」を参照してください。For more information, see Change a key vault tenant ID after a subscription move.

  2. リソースにシステム割り当てマネージド ID を使用していた場合は、これらを再度有効にする必要があります。If you were using system-assigned Managed Identities for resources, you must re-enable these. ユーザー割り当てマネージド ID を使用していた場合は、これらを再作成する必要があります。If you were using user-assigned Managed Identities, you must re-create these. マネージド ID を再度有効にするか再作成した後、それらの ID に割り当てられているアクセス許可を再確立する必要があります。After re-enabling or recreating the Managed Identities, you must re-establish the permissions assigned to those identities. 詳細については、「What is managed identities for Azure resources? (Azure リソースのマネージド ID とは)」を参照してください。For more information see What is managed identities for Azure resources?.

  3. このサブスクリプションを使用して Azure Stack を登録した場合は、再登録する必要があります。If you have registered an Azure Stack using this subscription, you must re-register. 詳細については、「Azure サブスクリプションを使用した Azure Stack の登録」を参照してください。For more information, see Register Azure Stack with Azure.

次の手順Next steps