Связывание или добавление подписки Azure в клиент Microsoft Entra
Все подписки Azure имеют отношение доверия с клиентом Microsoft Entra. Подписки используют этот клиент (каталог) для проверки подлинности и авторизации субъектов безопасности и устройств. По истечении срока действия подписки доверенный экземпляр остается, но субъекты безопасности теряют доступ к ресурсам Azure. Подписки могут доверять только одному каталогу, в то время как один клиент Microsoft Entra может быть доверенным для нескольких подписок.
Когда пользователь регистрируется в облачной службе Майкрософт, создается новый клиент Microsoft Entra, а пользователь становится глобальным администратором. Однако если владелец подписки присоединяет свою подписку к имеющемуся клиенту, владелец не назначается роли глобального администратора.
Хотя у пользователей может быть только один домашний каталог проверки подлинности, пользователи могут участвовать в качестве гостей в нескольких каталогах. Вы можете просмотреть домашний и гостевой каталоги для каждого пользователя в Microsoft Entra идентификаторе.
Важно!
Если подписка связана с другим каталогом, пользователи, которым назначены роли с помощью управления доступом на основе ролей Azure , теряют доступ. Администраторы классической подписки, включая администратора служб и соадминистраторов, также теряют доступ.
Перемещение кластера Службы Azure Kubernetes (AKS) в другую подписку или перемещение подписки владения кластером в новый клиент приводит к потере функциональности кластера из-за потери назначений ролей и прав субъекта-службы. Дополнительные сведения об AKS см. в статье Служба Azure Kubernetes (AKS).
Перед началом
Прежде чем связать или добавить подписку, сделайте следующее:
Ознакомьтесь с приведенным ниже списком изменений, которые произойдут после связывания или добавления подписки, и узнайте, как это может повлиять на вас.
- Пользователи, которым назначены роли с помощью Azure RBAC, потеряют доступ.
- Администратор служб и соадминистраторы потеряют доступ.
- Если у вас есть какие-либо хранилища ключей, они будут недоступны, и вам придется исправить их после ассоциации.
- Если у вас есть управляемые удостоверения для таких ресурсов, как Виртуальные машины или Logic Apps, необходимо повторно их включить или создать заново после сопоставления.
- Если у вас есть зарегистрированная Azure Stack, ее потребуется повторно зарегистрировать после связи.
Дополнительные сведения см. в статье Перенос подписки Azure в другой каталог Microsoft Entra.
Войдите, используя учетную запись, которая:
- имеет назначение роли владельца для подписки. Сведения о назначении ролей владельцев см. в статье Назначение ролей Azure с помощью портала Azure.
- Существует и в текущем каталоге, и в новом каталоге. Текущий каталог связан с подпиской. Вы свяжете новый каталог с этой подпиской. Дополнительные сведения о получении доступа к другому каталогу см. в статье Добавление пользователей службы совместной работы B2B Microsoft Entra в портал Azure.
- Убедитесь, что не используете следующие подписки: поставщики облачных служб Azure (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), внутренняя подписка Майкрософт (MS-AZR-0015P) или подписка на Начальный набор Microsoft Azure для учащихся (MS-AZR-0144P).
Связывание подписки с каталогом
Чтобы связать существующую подписку с идентификатором Microsoft Entra, выполните следующие действия.
Войдите в портал Azure с помощью назначения роли владелец для подписки.
Перейдите к разделу Подписки.
Выберите имя подписки, которую вы хотите использовать.
Выберите Изменить каталог.
Просмотрите все предупреждения и нажмите Изменить.
После изменения каталога для подписки отобразится сообщение об успешном завершении.
На странице "Подписка" выберите Переключить каталоги, чтобы перейти к новому каталогу.
Для правильного отображения всех элементов может потребоваться несколько часов. Если кажется, что это занимает слишком много времени, проверьте фильтр глобальной подписки. Убедитесь, что перемещенная подписка не скрыта. Возможно, потребуется выйти с портала Azure и войти снова, чтобы увидеть новый каталог.
Изменение каталога подписки происходит на уровне службы и не влияет на выставление счетов для подписки. Чтобы удалить исходный каталог, необходимо переместить владельца прав на выставление счетов по подписке в новый "Администратор учетной записи". Сведения о передаче прав владения выставлением счетов см. в статье Передача прав владения подпиской Azure другой учетной записи.
Действия после сопоставления
После связывания подписки с другим каталогом может потребоваться выполнить следующие задачи, чтобы возобновить операции:
Если у вас есть хранилища ключей, необходимо изменить идентификатор клиента хранилища ключей. Дополнительные сведения см. в статье Изменение идентификатора клиента хранилища ключей после перемещения подписки.
Если вы использовали для ресурсов управляемые удостоверения, назначенные системой, необходимо повторно включить эти удостоверения. Если вы использовали управляемые удостоверения, назначенные пользователем, необходимо повторно создать эти удостоверения. После повторного включения или создания управляемых удостоверений необходимо повторно установить разрешения, назначенные этим удостоверениям. См. сведения об управляемых удостоверениях для ресурсов Azure.
Если вы зарегистрировали Azure Stack с помощью этой подписки, необходимо выполнить повторную регистрацию. Дополнительные сведения см. в статье Регистрация Azure Stack Hub в Azure.
Дополнительные сведения см. в статье Перенос подписки Azure в другой каталог Microsoft Entra.
Дальнейшие действия
Сведения о создании нового клиента Microsoft Entra см. в статье Краткое руководство. Создание нового клиента в Microsoft Entra идентификаторе.
Дополнительные сведения о том, как Microsoft Azure управляет доступом к ресурсам, см. в статье Роли Azure, роли Microsoft Entra и классические роли администратора подписки.
Дополнительные сведения о назначении ролей в идентификаторе Microsoft Entra см. в статье Назначение ролей администратора и неадминистратора пользователям с идентификатором Microsoft Entra.