Azure サブスクリプションを Azure Active Directory テナントに関連付けるまたは追加する

Azure サブスクリプションには、Azure Active Directory (Azure AD) との信頼関係があります。 サブスクリプションでは、Azure AD を信頼して、ユーザー、サービス、デバイスの認証が行われます。

複数のサブスクリプションが同じ Azure AD ディレクトリを信頼できます。 各サブスクリプションが信頼できるディレクトリは 1 つに限られます。

1 つまたは複数の Azure サブスクリプションは、Azure サービスに対してセキュリティ プリンシパルおよびデバイスを認証し、許可を与える目的で、Azure Active Directory (Azure AD) インスタンスと信頼関係を構築できます。 サブスクリプションの有効期限が切れると、Azure AD サービスの信頼されたインスタンスは残りますが、セキュリティ プリンシパルでは、Azure リソースへのアクセスが失われます。

ユーザーが Microsoft のクラウド サービスに新規登録すると、新しい Azure AD テナントが作成され、そのユーザーは全体管理者ロールに属します。 ただし、サブスクリプションの所有者が自分のサブスクリプションを既存のテナントに参加させるとき、その所有者は全体管理者ロールに割り当てられません。

すべてのユーザーに、認証のための ホーム ディレクトリが 1 つあります。 ユーザーは、他のディレクトリのゲストになることもできます。 Azure AD では、各ユーザーのホーム ディレクトリとゲスト ディレクトリの両方を確認できます。

重要

サブスクリプションを別のディレクトリに関連付けると、Azure ロールベースのアクセス制御を使用してロールが割り当てられているユーザーはアクセスできなくなります。 サービス管理者や共同管理者などの従来のサブスクリプション管理者もアクセスできなくなります。

Azure Kubernetes Service (AKS) クラスターを別のサブスクリプションに移したり、クラスターを所有するサブスクリプションを新しいテナントに移したりすると、ロールの割り当てやサービス プリンシパルの権限が失われるため、クラスターの機能が失われることになります。 AKS の詳細については、「Azure Kubernetes Service (AKS)」を参照してください。

開始する前に

サブスクリプションの関連付けまたは追加を行う前に、次のタスクを実行してください。

  • サブスクリプションを関連付けたり追加したりした後に行われる変更の一覧と、その影響を確認してください。

    • Azure RBAC を使用してロールが割り当てられているユーザーはアクセスできなくなります。
    • サービス管理者と共同管理者はアクセスできなくなります。
    • キー コンテナーがある場合はアクセスできなくなり、関連付けを行った後にそれらを修正する必要があります。
    • 仮想マシンやロジック アプリなどのリソースのマネージド ID を持っている場合は、関連付け後にそれらを再度有効にするか再作成する必要があります。
    • 登録されている Azure Stack がある場合は、関連付けを行った後に再登録が必要になります。
    • 詳細については、「Azure サブスクリプションを別の Azure AD ディレクトリに移転する」を参照してください。
  • 次のようなアカウントを使用してサインインします。

  • Azure クラウド サービス プロバイダー (CSP) サブスクリプション (MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft 内部サブスクリプション (MS-AZR-0015P)、または Microsoft Azure for Students Starter サブスクリプション (MS-AZR-0144P) を使用していないことを確認します。

サブスクリプションをディレクトリに関連付ける

既存のサブスクリプションを Azure AD ディレクトリに関連付けるには、次の手順に従います。

  1. Azure portal にサインインし、[サブスクリプション] ページで使用するサブスクリプションを選択します。

  2. [ディレクトリの変更] を選択します。

    [サブスクリプション] ページを示すスクリーンショット。[ディレクトリの変更] オプションが強調表示されています。

  3. 表示されたすべての警告を確認してから、 [変更] を選択します。

    サンプル ディレクトリと [変更] ボタンが強調表示されている [ディレクトリの変更] ページを示すスクリーンショット。

    サブスクリプションのディレクトリが変更された後、成功メッセージが表示されます。

  4. [サブスクリプション] ページで [ディレクトリの切り替え] を選択し、新しいディレクトリに移動します。

    サンプル情報を含む [ディレクトリの切り替え] ページを示すスクリーンショット。

    すべてが適切に表示されるまでに数時間かかる場合があります。 時間がかかりすぎていると思われる場合は、 [グローバルなサブスクリプション フィルター] を確認します。 移動したサブスクリプションが非表示になっていないことを確認します。 一度 Azure portal からサインアウトしてから再びサインインしないと、新しいディレクトリが表示されない場合があります。

サブスクリプションのディレクトリの変更はサービス レベルの操作であるため、サブスクリプションの課金所有権には影響しません。 元のディレクトリを削除するには、新しいアカウント管理者にサブスクリプションの課金所有権を譲渡する必要があります。課金所有権を別のアカウントに譲渡するには、「Azure サブスクリプションの所有権を別のアカウントに譲渡する」を参照してください。

関連付け後の手順

サブスクリプションを別のディレクトリに関連付けた後、次のタスクを実行しないと操作が再開されない場合があります。

次のステップ