Связывание или добавление подписки Azure в клиент Azure Active DirectoryAssociate or add an Azure subscription to your Azure Active Directory tenant

Подписка Azure имеет отношение доверия с Azure Active Directory (Azure AD), что означает, что подписка доверяет Azure AD для проверки подлинности пользователей, служб и устройств.An Azure subscription has a trust relationship with Azure Active Directory (Azure AD), which means that the subscription trusts Azure AD to authenticate users, services, and devices. Несколько подписок могут доверять одному и тому же каталогу Azure AD, но одна конкретная подписка будет доверять только одному каталогу.Multiple subscriptions can trust the same Azure AD directory, but each subscription can only trust a single directory.

Если срок действия подписки истекает, доступ к другим ресурсам, связанным с этой подпиской, также прекращается.If your subscription expires, you lose access to all the other resources associated with the subscription. Но каталог Azure AD остается в Azure, и вы можете управлять им, используя другую подписку Azure.However, the Azure AD directory remains in Azure, letting you associate and manage the directory using a different Azure subscription.

Все пользователи имеют один домашний каталог для проверки подлинности.All of your users have a single home directory for authentication. Но пользователи также могут быть гостями в других каталогах.However, your users can also be guests in other directories. Домашний и гостевые каталоги для каждого пользователя отображаются в Azure AD.You can see both the home and guest directories for each user in Azure AD.

Важно!

При связывании подписки с другим каталогом пользователи, имеющие роли, назначенные с помощью управления доступом на основе ролей (RBAC) , потеряют доступ к ним.When you associate a subscription to a different directory, users that have roles assigned using role-based access control (RBAC) will lose their access. Администраторы классических подписок (администратор служб и соадминистраторы) также теряют доступ.Classic subscription administrators (Service Administrator and Co-Administrators) will also lose access.

Кроме того, перемещение кластера Azure Kubernetes Service (AKS) в другую подписку или перемещение подписки кластера на новый клиент приводит к потере функциональности кластера из-за потери назначенных ролей и прав субъектов-служб.Additionally, moving your Azure Kubernetes Service (AKS) cluster to a different subscription, or moving the cluster-owning subscription to a new tenant, causes the cluster to lose functionality due to lost role assignments and service principals rights. Дополнительные сведения о AKS см. в статье Azure Kubernetes Service (AKS).For more information about AKS, see Azure Kubernetes Service (AKS).

Перед началом работыBefore you begin

Прежде чем связать или добавить подписку, необходимо выполнить следующие действия:Before you can associate or add your subscription, you must perform the following tasks:

  1. Ознакомьтесь со следующим списком изменений и в том, как это может быть затронуто.Review the following list of changes and how you might be affected:

    • Пользователи, которым назначены роли с помощью RBAC, потеряют доступ к нимUsers that have been assigned roles using RBAC will lose their access
    • Администратор служб и Соадминистратор потеряют доступService Administrator and Co-Administrators will lose access
    • Если у вас есть хранилища ключей, они станут недоступными и их потребуется исправить после сопоставления.If you have any key vaults, they'll be inaccessible and you'll have to fix them after association
    • Если у вас есть управляемые удостоверения для таких ресурсов, как виртуальные машины или Logic Apps, необходимо повторно включить или создать их заново после сопоставления.If you have any managed identities for resources such as Virtual Machines or Logic Apps, you'll have to re-enable or recreate them after the association
    • Если у вас есть зарегистрированная Azure Stack, ее потребуется повторно зарегистрировать после связиIf you have a registered Azure Stack, you'll have to re-register it after association
  2. Войдите, используя учетную запись, которая:Sign in using an account that:

  3. Убедитесь, что не используете следующие подписки: поставщики облачных служб Azure (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), внутренняя подписка Майкрософт (MS-AZR-0015P) или Microsoft Imagine (MS-AZR-0144P).Make sure you're not using an Azure Cloud Service Providers (CSP) subscription (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), a Microsoft Internal subscription (MS-AZR-0015P), or a Microsoft Imagine subscription (MS-AZR-0144P).

Привязка имеющейся подписки к каталогу Azure ADTo associate an existing subscription to your Azure AD directory

  1. Войдите и выберите нужную подписку на странице подписок на портале Azure.Sign in and select the subscription you want to use from the Subscriptions page in Azure portal.

  2. Выберите Изменить каталог.Select Change directory.

    Страница подписок с выделенным параметром "Изменить каталог"

  3. Просмотрите все предупреждения и нажмите Изменить.Review any warnings that appear, and then select Change.

    Страница "Изменить каталог" с новым каталогом

    Каталог для подписки изменен, вы получаете сообщение об успешном выполнении.The directory is changed for the subscription and you get a success message.

    Сообщение об изменении каталога

  4. Используйте переключатель каталогов , чтобы перейти к новому каталогу.Use the Directory switcher to go to your new directory. Для правильного отображения всех элементов может потребоваться несколько часов.It can take several hours for everything to show up properly. Если кажется, что он занимает слишком много времени, проверьте Фильтр глобальной подписки для перемещенной подписки и убедитесь, что она не скрыта.If it seems to be taking too long, check the Global subscription filter for the moved subscription to make sure it's not hidden. Возможно, потребуется выйти из портал Azure и войти снова, чтобы получить возможность увидеть новый каталог.You may need to sign out of the Azure portal and sign back in to be able to see the new directory.

    Страница "переключение каталога" с образцом данных

Изменение каталога подписки происходит на уровне службы и не влияет на выставление счетов для подписки.Changing the subscription directory is a service-level operation, so it doesn't affect subscription billing ownership. Администратор учетной записи по-прежнему может изменить администратора службы в Центре управления учетной записью.The Account Admin can still change the Service Admin from the Account Center. Чтобы удалить исходный каталог, передайте права владения выставлением счетов по подписке новому администратору учетной записи. Сведения о передаче прав владения выставлением счетов см. в статье Передача прав владения подпиской Azure другой учетной записи.To delete the original directory, you must transfer the subscription billing ownership to a new Account Admin. To learn more about transferring billing ownership, see Transfer ownership of an Azure subscription to another account.

Действия после сопоставленияPost association steps

После связывания подписки с другим каталогом могут быть выполнены дополнительные действия, которые необходимо выполнить для возобновления операций.After you associate a subscription to a different directory, there might be additional steps that you must perform to resume operations.

  1. Если у вас есть хранилища ключей, необходимо изменить идентификатор клиента хранилища ключей.If you have any key vaults, you must change the key vault tenant ID. Дополнительные сведения см. в разделе Изменение идентификатора клиента хранилища ключей после перемещения подписки.For more information, see Change a key vault tenant ID after a subscription move.

  2. Если вы использовали управляемые системой удостоверения для ресурсов, их необходимо включить повторно.If you were using system-assigned Managed Identities for resources, you must re-enable these. Если вы использовали назначенные пользователем управляемые удостоверения, их необходимо создать повторно.If you were using user-assigned Managed Identities, you must re-create these. После повторного включения или создания управляемых удостоверений необходимо повторно установить разрешения, назначенные этим удостоверениям.After re-enabling or recreating the Managed Identities, you must re-establish the permissions assigned to those identities. Дополнительные сведения см. в статье что такое управляемые удостоверения для ресурсов Azure?.For more information see What is managed identities for Azure resources?.

  3. Если вы зарегистрировали Azure Stack с помощью этой подписки, необходимо выполнить повторную регистрацию.If you have registered an Azure Stack using this subscription, you must re-register. Дополнительные сведения см. в статье регистрация Azure Stack в Azure.For more information, see Register Azure Stack with Azure.

Следующие шагиNext steps