Azure 구독을 Microsoft Entra 테넌트에 연결 또는 추가

  • 아티클

모든 Azure 구독은 Microsoft Entra 테넌트와 트러스트 관계를 맺습니다. 구독은 이 테넌트(디렉터리)를 사용하여 보안 주체 및 디바이스를 인증하고 권한을 부여합니다. 구독이 만료되면 신뢰할 수 있는 인스턴스는 그대로 유지되지만 보안 주체는 Azure 리소스에 대한 액세스 권한을 잃게 됩니다. 구독은 단일 디렉터리만 신뢰할 수 있지만 하나의 Microsoft Entra 테넌트는 여러 구독에서 신뢰할 수 있습니다.

사용자가 Microsoft 클라우드 서비스에 등록하면 새 Microsoft Entra 테넌트가 만들어지고 사용자가 Global 관리istrator로 만들어집니다. 그러나 구독 소유자가 기존 테넌트에 구독을 조인하는 경우 소유자는 전역 관리자 역할에 할당되지 않습니다.

사용자에게는 단일 인증 디렉터리만 있을 수 있지만 사용자는 여러 디렉터리에 게스트로 참여할 수 있습니다. Microsoft Entra ID에서 각 사용자의 홈 디렉터리와 게스트 디렉터리를 모두 확인할 수 있습니다.

Azure 구독과 Microsoft Entra 디렉터리 간의 트러스트 관계를 보여 주는 스크린샷

Important

구독이 다른 디렉터리에 연결되면 AZURE RBAC(역할 기반 액세스 제어)를 사용하여 역할이 할당된 사용자는 액세스 권한을 잃게 됩니다. 서비스 관리자 및 공동 관리자를 비롯한 클래식 구독 관리자도 액세스 권한을 잃게 됩니다.

AKS(Azure Kubernetes Service) 클러스터를 다른 구독으로 이동하거나 클러스터 소유 구독을 새 테넌트로 이동하면 손실된 역할 할당 및 서비스 주체 권한으로 인해 클러스터가 기능을 잃게 됩니다. 자세한 내용은 AKS(Azure Kubernetes Service)를 참조하세요.

시작하기 전에

구독을 연결하거나 추가하려면 먼저 다음 단계를 수행해야 합니다.

  • 구독을 연결하거나 추가한 후에 수행되는 변경 내용 및 받게 될 영향의 내용에 대해서는 다음 목록을 검토하세요.

    • Azure RBAC를 사용해 역할이 할당된 사용자는 액세스 권한을 잃게 됩니다.
    • 서비스 관리자 및 공동 관리자도 권한을 잃습니다.
    • 키 자격 증명 모음이 있는 경우 해당 자격 증명 모음에 액세스할 수 없으며 연결한 후 이를 수정해야 합니다.
    • Virtual Machines 또는 Logic Apps와 같은 리소스의 관리 ID가 있는 경우 연결 후 다시 사용하도록 설정하거나 다시 만들어야 합니다.
    • 등록된 Azure Stack이 있는 경우 연결 후 다시 등록해야 합니다.

    자세한 내용은 다른 Microsoft Entra 디렉터리로 Azure 구독 양도를 참조하세요.

  • 다음 조건을 충족하는 계정을 사용하여 로그인해야 합니다.

    • 구독에 대한 소유자 역할이 할당된 상태입니다. 소유자 역할을 할당하는 방법에 대한 자세한 내용은 Azure Portal를 사용하여 Azure 역할 할당을 참조하세요.
    • 현재 디렉터리와 새 디렉터리에 모두 있습니다. 현재 디렉터리는 구독과 연결되어 있습니다. 새 디렉터리를 구독과 연결합니다. 다른 디렉터리에 대한 액세스 권한을 얻는 방법에 대한 자세한 내용은 Azure Portal에서 Microsoft Entra B2B 협업 사용자 추가를 참조하세요.
    • Azure CSP(클라우드 서비스 공급자) 구독(MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), Microsoft 내부 구독(MS-AZR-0015P) 또는 Microsoft Azure for Students Starter 구독(MS-AZR-0144P)을 사용하지 않는지 확인합니다.

디렉터리에 구독 연결

기존 구독을 Microsoft Entra ID와 연결하려면 다음 단계를 수행합니다.

  1. 구독에 대한 소유자 역할 할당을 사용하여 Azure Portal에 로그인합니다.

  2. 구독으로 이동합니다.

  3. 사용하려는 구독 이름을 선택합니다.

  4. 디렉터리 변경을 선택합니다.

    디렉터리 변경 옵션이 강조 표시된 구독 페이지를 보여주는 스크린샷.

  5. 표시되는 경고를 검토한 다음 변경을 선택합니다.

    샘플 디렉터리와 변경 단추가 강조 표시된 디렉터리 변경 페이지를 보여 주는 스크린샷.

    디렉터리가 구독에 맞게 변경되면 성공 메시지가 표시됩니다.

  6. 구독 페이지에서 디렉터리 전환을 선택하여 새 디렉터리로 이동합니다.

    예제 정보가 포함된 디렉터리 전환기 페이지를 보여 주는 스크린샷.

    모든 내용이 제대로 표시되려면 몇 시간이 걸릴 수 있습니다. 시간이 너무 오래 걸린다면 전역 구독 필터를 확인합니다. 이동 된 구독이 숨겨지지 않았는지 확인합니다. Azure Portal에서 로그아웃하고 다시 로그인하여 새 디렉터리를 확인해야 할 수 있습니다.

구독 디렉터리 변경은 서비스 수준 작업이므로 구독 청구 소유권에 영향을 주지 않습니다. 원본 디렉터리를 삭제하려면 구독 청구 소유권을 새 계정 관리자에게 양도해야 합니다. 청구 소유권을 전송하는 방법에 대해 자세히 알아보려면 Azure 구독의 소유권을 다른 계정으로 이전을 참조하세요.

연결 이후 단계

구독을 다른 디렉터리에 연결한 후 작업을 계속하려면 다음 작업을 수행해야 할 수 있습니다.

  • 키 자격 증명 모음이 있는 경우 Key Vault 테넌트 ID를 변경해야 합니다. 자세한 내용은 구독 이동 후 Key Vault 테넌트 ID 변경을 참조 하세요.

  • 리소스에 시스템 할당 관리 ID를 사용한 경우 이러한 ID를 다시 활성화해야 합니다. 사용자 할당 관리 ID를 사용한 경우에는 해당 ID를 다시 만들어야 합니다. 관리 ID를 다시 설정하거나 다시 만든 후에는 해당 ID에 할당된 권한을 다시 설정해야 합니다. 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.

  • 이 구독을 사용하여 Azure Stack을 등록한 경우 다시 등록해야 합니다. 자세한 내용은 Azure를 사용하여 Azure Stack Hub 등록을 참조하세요.

  • 자세한 내용은 다른 Microsoft Entra 디렉터리로 Azure 구독 양도를 참조하세요.

다음 단계