Associar ou adicionar uma assinatura do Azure ao seu locatário do Azure Active DirectoryAssociate or add an Azure subscription to your Azure Active Directory tenant

Uma assinatura do Azure tem uma relação de confiança com o Azure Active Directory (Azure AD), que significa que a assinatura confia do Azure AD para autenticar usuários, serviços e dispositivos.An Azure subscription has a trust relationship with Azure Active Directory (Azure AD), which means that the subscription trusts Azure AD to authenticate users, services, and devices. Várias assinaturas podem confiar no mesmo diretório do Azure AD, mas cada assinatura só pode confiar em um único diretório.Multiple subscriptions can trust the same Azure AD directory, but each subscription can only trust a single directory.

Se a sua assinatura expirar, você perderá o acesso a todos os outros recursos associados à assinatura.If your subscription expires, you lose access to all the other resources associated with the subscription. No entanto, o diretório do Azure AD permanece no Azure, permitindo associar e gerenciar o diretório usando uma assinatura diferente do Azure.However, the Azure AD directory remains in Azure, letting you associate and manage the directory using a different Azure subscription.

Todos os usuários têm uma única doméstica diretório para autenticação.All of your users have a single home directory for authentication. No entanto, seus usuários também podem ser convidados em outros diretórios.However, your users can also be guests in other directories. Você pode ver os diretórios inicial e convidado de cada usuário no Azure AD.You can see both the home and guest directories for each user in Azure AD.

Importante

Ao associar uma assinatura para um diretório diferente, os usuários que têm funções atribuídas usando controle de acesso baseado em função (RBAC) perderão o acesso.When you associate a subscription to a different directory, users that have roles assigned using role-based access control (RBAC) will lose their access. Os administradores de assinatura clássicos (administrador de serviços e Coadministradores) também perderá o acesso.Classic subscription administrators (Service Administrator and Co-Administrators) will also lose access.

Além disso, movendo seu cluster do serviço de Kubernetes do Azure (AKS) para uma assinatura diferente ou movendo a assinatura proprietária de cluster para um novo locatário, faz com que o cluster perca a funcionalidade devido a direitos de entidades de serviço e de atribuições de função perdido.Additionally, moving your Azure Kubernetes Service (AKS) cluster to a different subscription, or moving the cluster-owning subscription to a new tenant, causes the cluster to lose functionality due to lost role assignments and service principals rights. Para obter mais informações sobre o AKS, consulte serviço de Kubernetes do Azure (AKS).For more information about AKS, see Azure Kubernetes Service (AKS).

Antes de começarBefore you begin

Antes de associar ou adicionar sua assinatura, você deve executar as seguintes tarefas:Before you can associate or add your subscription, you must perform the following tasks:

  1. Examine a seguinte lista de alterações e como você poderá ser afetado:Review the following list of changes and how you might be affected:

    • Os usuários que receberam funções usando o RBAC perderão o acessoUsers that have been assigned roles using RBAC will lose their access
    • Administrador de serviços e Coadministradores perderão o acessoService Administrator and Co-Administrators will lose access
    • Se você tiver qualquer cofres de chaves, eles ficarão inacessíveis e você precisará corrigi-los após a associaçãoIf you have any key vaults, they'll be inaccessible and you'll have to fix them after association
    • Se você tiver qualquer identidade gerenciada para recursos como máquinas virtuais ou aplicativos lógicos, você precisará habilitar novamente ou recriá-los após a associaçãoIf you have any managed identities for resources such as Virtual Machines or Logic Apps, you'll have to re-enable or recreate them after the association
    • Se você tiver uma pilha do Azure registrado, você precisará registrá-lo novamente após a associaçãoIf you have a registered Azure Stack, you'll have to re-register it after association
  2. Entre usando uma conta que:Sign in using an account that:

  3. Verifique se você não está usando uma assinatura de Provedor de Serviços de Nuvem do Azure (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), uma assinatura Interna da Microsoft (MS-AZR-0015P) ou Assinatura do Microsoft Imagine (MS-AZR-0144P).Make sure you're not using an Azure Cloud Service Providers (CSP) subscription (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), a Microsoft Internal subscription (MS-AZR-0015P), or a Microsoft Imagine subscription (MS-AZR-0144P).

Para associar uma assinatura existente ao seu diretório do Azure ADTo associate an existing subscription to your Azure AD directory

  1. Faça login e selecione a assinatura que você deseja usar na página Inscrições no portal do Azure.Sign in and select the subscription you want to use from the Subscriptions page in Azure portal.

  2. Selecione altere o diretório.Select Change directory.

    Página de assinaturas, com a opção Alterar diretório destacada

  3. Revise todos os avisos exibidos e, em seguida, selecione Alterar.Review any warnings that appear, and then select Change.

    Altere a página do diretório, mostrando o diretório para alterar para

    O diretório é alterado para a assinatura e você recebe uma mensagem de sucesso.The directory is changed for the subscription and you get a success message.

    Mensagem de sucesso sobre alteração de diretório

  4. Use o seletor de diretório para ir para seu novo diretório.Use the Directory switcher to go to your new directory. Pode levar várias horas para que tudo seja mostrado corretamente.It can take several hours for everything to show up properly. Se isso parece estar demorando muito tempo, verifique se você marcou a filtro de assinatura Global para a assinatura movida, para garantir que ele é simplesmente não oculto.If it seems to be taking too long, make sure you check the Global subscription filter for the moved subscription, to make sure it's not simply hidden.

    Página do seletor de diretório, com informações de exemplo

A alteração do diretório de assinatura é uma operação no nível do serviço, portanto, não afeta a propriedade do faturamento da assinatura.Changing the subscription directory is a service-level operation, so it doesn't affect subscription billing ownership. O administrador da conta ainda pode alterar o administrador do serviço do Centro de contas.The Account Admin can still change the Service Admin from the Account Center. Para excluir o diretório original, você deve transferir a propriedade de faturamento da assinatura para um novo Administrador de conta. Para saber mais sobre como transferir a propriedade da conta, confira Transferir a propriedade de uma assinatura do Azure para outra conta.To delete the original directory, you must transfer the subscription billing ownership to a new Account Admin. To learn more about transferring billing ownership, see Transfer ownership of an Azure subscription to another account.

Etapas de associação de postagemPost association steps

Depois de associar uma assinatura para um diretório diferente, pode haver etapas adicionais que você deve executar para retomar as operações.After you associate a subscription to a different directory, there might be additional steps that you must perform to resume operations.

  1. Se você tiver qualquer cofres de chaves, você deve alterar a ID de locatário do Cofre de chaves.If you have any key vaults, you must change the key vault tenant ID. Para obter mais informações, consulte alterar uma ID de locatário do Cofre de chaves depois de mover uma assinatura.For more information, see Change a key vault tenant ID after a subscription move.

  2. Se você estivesse usando as identidades atribuído pelo sistema gerenciado para recursos, você deve reabilitar essas.If you were using system-assigned Managed Identities for resources, you must re-enable these. Se você estivesse usando as identidades atribuídas ao usuário gerenciado, você deve recriar essas.If you were using user-assigned Managed Identities, you must re-create these. Depois de habilitar novamente ou recriar as identidades gerenciadas, você deve estabelecer novamente as permissões atribuídas a essas identidades.After re-enabling or recreating the Managed Identities, you must re-establish the permissions assigned to those identities. Para obter mais informações, consulte What ' s identidades gerenciadas para recursos do Azure?.For more information see What is managed identities for Azure resources?.

  3. Se você tiver registrado uma pilha do Azure usando essa assinatura, você deve registrar novamente.If you have registered an Azure Stack using this subscription, you must re-register. Para obter mais informações, consulte registrar o Azure Stack com o Azure.For more information, see Register Azure Stack with Azure.

Próximas etapasNext steps