Связывание или добавление подписки Azure в клиент Azure Active Directory

Подписка Azure связана с экземпляром Azure Active Directory (Azure AD) отношением доверия. Подписка доверяет Azure AD проверку подлинности пользователей, служб и устройств.

Несколько подписок могут доверять одному и тому же каталогу Azure AD. Каждая подписка может доверять только одному каталогу.

Одна или несколько подписок Azure могут установить отношение доверия с экземпляром Azure Active Directory (Azure AD) для проверки подлинности и авторизации субъектов безопасности и устройств в службах Azure. По истечении срока действия подписки доверенный экземпляр службы Azure AD остается, но субъекты безопасности теряют доступ к ресурсам Azure.

Когда пользователь регистрируется в облачной службе Майкрософт, создается новый клиент Azure AD, а пользователь становится членом роли глобального администратора. Однако если владелец подписки присоединяет свою подписку к имеющемуся клиенту, владелец не назначается роли глобального администратора.

У всех ваших пользователей есть один домашний каталог для проверки подлинности. Пользователи также могут быть гостями в других каталогах. Домашний и гостевые каталоги для каждого пользователя отображаются в Azure AD.

Снимок экрана: отношение доверия между подписками Azure и Azure Active Directory.

Важно!

При связывании подписки с другим каталогом пользователи, которым назначены роли с помощью управления доступом на основе ролей Azure, теряют доступ. Администраторы классической подписки, включая администратора служб и соадминистраторов, также теряют доступ.

Перемещение кластера Службы Azure Kubernetes (AKS) в другую подписку или перемещение подписки владения кластером в новый клиент приводит к потере функциональности кластера из-за потери назначений ролей и прав субъекта-службы. Дополнительные сведения об AKS см. в статье Служба Azure Kubernetes (AKS).

Перед началом

Прежде чем связать или добавить подписку, выполните следующие действия:

  • Ознакомьтесь с приведенным ниже списком изменений, которые произойдут после связывания или добавления подписки, и узнайте, как это может повлиять на вас.

    • Пользователи, которым назначены роли с помощью Azure RBAC, потеряют доступ.
    • Администратор служб и соадминистраторы потеряют доступ.
    • Если у вас есть хранилища ключей, они станут недоступными и их потребуется исправить после сопоставления.
    • Если у вас есть управляемые удостоверения для таких ресурсов, как Виртуальные машины или Logic Apps, необходимо повторно их включить или создать заново после сопоставления.
    • Если у вас есть зарегистрированная Azure Stack, ее потребуется повторно зарегистрировать после связи.
    • Дополнительные сведения см. в статье Перенос подписки Azure в другой каталог Azure AD.
  • Войдите, используя учетную запись, которая:

  • Убедитесь, что не используете следующие подписки: поставщики облачных служб Azure (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), внутренняя подписка Майкрософт (MS-AZR-0015P) или подписка на Начальный набор Microsoft Azure для учащихся (MS-AZR-0144P).

Связывание подписки с каталогом

Чтобы привязать имеющуюся подписку к каталогу Azure AD, выполните следующие действия.

  1. Войдите и выберите нужную подписку на странице подписок на портале Azure.

  2. Выберите Изменить каталог.

    Снимок экрана, на котором показана страница "Подписки" с выделенным параметром "Изменить каталог".

  3. Просмотрите все предупреждения и нажмите Изменить.

    Снимок экрана, на котором показана страница "Изменение каталога" с примером каталога и выделенной кнопкой "Изменить".

    После того как каталог для подписки будет изменен, вы получите сообщение об успешном выполнении.

  4. На странице "Подписка" выберите Переключить каталоги, чтобы перейти к новому каталогу.

    Снимок экрана, на котором показана страница "Переключение каталога" с примерами сведений.

    Для правильного отображения всех элементов может потребоваться несколько часов. Если кажется, что это занимает слишком много времени, проверьте фильтр глобальной подписки. Убедитесь, что перемещенная подписка не скрыта. Возможно, потребуется выйти с портала Azure и войти снова, чтобы увидеть новый каталог.

Изменение каталога подписки происходит на уровне службы и не влияет на выставление счетов для подписки. Чтобы удалить исходный каталог, необходимо переместить владельца прав на выставление счетов по подписке в новый "Администратор учетной записи". Сведения о передаче прав владения выставлением счетов см. в статье Передача прав владения подпиской Azure другой учетной записи.

Действия после сопоставления

После связывания подписки с другим каталогом, возможно, потребуется выполнить следующие задачи, чтобы продолжить.

Дальнейшие действия