Associar ou adicionar uma assinatura do Azure ao seu locatário do Azure Active DirectoryAssociate or add an Azure subscription to your Azure Active Directory tenant

Uma assinatura do Azure tem uma relação de confiança com Azure Active Directory (Azure AD), o que significa que a assinatura confia no Azure AD para autenticar usuários, serviços e dispositivos.An Azure subscription has a trust relationship with Azure Active Directory (Azure AD), which means that the subscription trusts Azure AD to authenticate users, services, and devices. Várias assinaturas podem confiar no mesmo diretório do Azure AD, mas cada assinatura só pode confiar em um único diretório.Multiple subscriptions can trust the same Azure AD directory, but each subscription can only trust a single directory.

Se a sua assinatura expirar, você perderá o acesso a todos os outros recursos associados à assinatura.If your subscription expires, you lose access to all the other resources associated with the subscription. No entanto, o diretório do Azure AD permanece no Azure, permitindo associar e gerenciar o diretório usando uma assinatura diferente do Azure.However, the Azure AD directory remains in Azure, letting you associate and manage the directory using a different Azure subscription.

Todos os seus usuários têm um único diretório base para autenticação.All of your users have a single home directory for authentication. No entanto, seus usuários também podem ser convidados em outros diretórios.However, your users can also be guests in other directories. Você pode ver os diretórios inicial e convidado de cada usuário no Azure AD.You can see both the home and guest directories for each user in Azure AD.

Importante

Quando você associa uma assinatura a um diretório diferente, os usuários que têm funções atribuídas usando o controle de acesso baseado em função (RBAC) perderão seu acesso.When you associate a subscription to a different directory, users that have roles assigned using role-based access control (RBAC) will lose their access. Os administradores de assinatura clássicos (administrador de serviços e coadministradores) também perderão o acesso.Classic subscription administrators (Service Administrator and Co-Administrators) will also lose access.

Além disso, mover o cluster AKS (serviço kubernetes do Azure) para uma assinatura diferente ou mover a assinatura proprietária do cluster para um novo locatário faz com que o cluster perca funcionalidade devido a atribuições de função perdidas e direitos de entidades de serviço.Additionally, moving your Azure Kubernetes Service (AKS) cluster to a different subscription, or moving the cluster-owning subscription to a new tenant, causes the cluster to lose functionality due to lost role assignments and service principals rights. Para obter mais informações sobre AKS, consulte serviço kubernetes do Azure (AKs).For more information about AKS, see Azure Kubernetes Service (AKS).

Antes de começarBefore you begin

Antes de associar ou adicionar sua assinatura, você deve executar as seguintes tarefas:Before you can associate or add your subscription, you must perform the following tasks:

  1. Examine a lista de alterações a seguir e como você pode ser afetado:Review the following list of changes and how you might be affected:

    • Os usuários aos quais foram atribuídas funções usando o RBAC perderão seu acessoUsers that have been assigned roles using RBAC will lose their access
    • O administrador de serviços e coadministradores perderão o acessoService Administrator and Co-Administrators will lose access
    • Se você tiver cofres de chaves, eles ficarão inacessíveis e você precisará corrigi-los após a associaçãoIf you have any key vaults, they'll be inaccessible and you'll have to fix them after association
    • Se você tiver identidades gerenciadas para recursos como máquinas virtuais ou aplicativos lógicos, precisará reabilitar ou recriá-los após a associaçãoIf you have any managed identities for resources such as Virtual Machines or Logic Apps, you'll have to re-enable or recreate them after the association
    • Se você tiver um Azure Stack registrado, será necessário registrá-lo novamente após a associaçãoIf you have a registered Azure Stack, you'll have to re-register it after association
  2. Entre usando uma conta que:Sign in using an account that:

  3. Verifique se você não está usando uma assinatura de Provedor de Serviços de Nuvem do Azure (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), uma assinatura Interna da Microsoft (MS-AZR-0015P) ou Assinatura do Microsoft Imagine (MS-AZR-0144P).Make sure you're not using an Azure Cloud Service Providers (CSP) subscription (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), a Microsoft Internal subscription (MS-AZR-0015P), or a Microsoft Imagine subscription (MS-AZR-0144P).

Para associar uma assinatura existente ao seu diretório do Azure ADTo associate an existing subscription to your Azure AD directory

  1. Faça login e selecione a assinatura que você deseja usar na página Inscrições no portal do Azure.Sign in and select the subscription you want to use from the Subscriptions page in Azure portal.

  2. Selecione altere o diretório.Select Change directory.

    Página de assinaturas, com a opção Alterar diretório destacada

  3. Revise todos os avisos exibidos e, em seguida, selecione Alterar.Review any warnings that appear, and then select Change.

    Altere a página do diretório, mostrando o diretório para alterar para

    O diretório é alterado para a assinatura e você recebe uma mensagem de sucesso.The directory is changed for the subscription and you get a success message.

    Mensagem de êxito sobre alteração de diretório

  4. Use o seletor de diretório para ir para o novo diretório.Use the Directory switcher to go to your new directory. Pode levar várias horas para que tudo seja exibido corretamente.It can take several hours for everything to show up properly. Se parecer que está demorando muito, verifique o filtro de assinatura global para a assinatura movida para verificar se ele não está oculto.If it seems to be taking too long, check the Global subscription filter for the moved subscription to make sure it's not hidden. Talvez seja necessário sair do portal do Azure e entrar novamente para poder ver o novo diretório.You may need to sign out of the Azure portal and sign back in to be able to see the new directory.

    Página de seletor de diretório, com informações de exemplo

A alteração do diretório de assinatura é uma operação no nível do serviço, portanto, não afeta a propriedade do faturamento da assinatura.Changing the subscription directory is a service-level operation, so it doesn't affect subscription billing ownership. O administrador da conta ainda pode alterar o administrador do serviço do Centro de contas.The Account Admin can still change the Service Admin from the Account Center. Para excluir o diretório original, você deve transferir a propriedade de faturamento da assinatura para um novo Administrador de conta. Para saber mais sobre como transferir a propriedade da conta, confira Transferir a propriedade de uma assinatura do Azure para outra conta.To delete the original directory, you must transfer the subscription billing ownership to a new Account Admin. To learn more about transferring billing ownership, see Transfer ownership of an Azure subscription to another account.

Etapas de associação postPost association steps

Depois de associar uma assinatura a um diretório diferente, pode haver etapas adicionais que você deve executar para retomar as operações.After you associate a subscription to a different directory, there might be additional steps that you must perform to resume operations.

  1. Se você tiver qualquer cofre de chaves, deverá alterar a ID de locatário do cofre de chaves.If you have any key vaults, you must change the key vault tenant ID. Para obter mais informações, consulte alterar uma ID de locatário do cofre de chaves após a movimentação de uma assinatura.For more information, see Change a key vault tenant ID after a subscription move.

  2. Se você estivesse usando identidades gerenciadas atribuídas pelo sistema para recursos, você deve reabilitá-las.If you were using system-assigned Managed Identities for resources, you must re-enable these. Se você estiver usando identidades gerenciadas atribuídas pelo usuário, deverá recriá-las.If you were using user-assigned Managed Identities, you must re-create these. Depois de habilitar novamente ou recriar as identidades gerenciadas, você deve restabelecer as permissões atribuídas a essas identidades.After re-enabling or recreating the Managed Identities, you must re-establish the permissions assigned to those identities. Para obter mais informações, consulte o que são identidades gerenciadas para recursos do Azure?.For more information see What is managed identities for Azure resources?.

  3. Se você registrou um Azure Stack usando essa assinatura, deverá registrar novamente.If you have registered an Azure Stack using this subscription, you must re-register. Para obter mais informações, consulte registrar Azure Stack com o Azure.For more information, see Register Azure Stack with Azure.

Próximas etapasNext steps