Bearbeiten

Freigeben über

Zuordnen oder Hinzufügen eines Azure-Abonnements zu Ihrem Microsoft Entra-Mandanten

  • Vorgehensweise

Alle Azure-Abonnements verfügen über eine Vertrauensstellung mit einem Microsoft Entra-Mandanten. Abonnements basieren auf diesem Mandanten (Verzeichnis), um Sicherheitsprinzipale und Geräte zu authentifizieren und zu autorisieren. Wenn ein Abonnement abläuft, bleibt die vertrauenswürdige Instanz erhalten, aber die Sicherheitsprinzipale verlieren den Zugriff auf Azure-Ressourcen. Abonnements können nur einem einzelnen Verzeichnis vertrauen, während ein Microsoft Entra-Mandant von mehreren Abonnements als vertrauenswürdig eingestuft wird.

Wenn sich ein Benutzer für einen Microsoft-Clouddienst anmeldet, wird ein neuer Microsoft Entra-Mandant erstellt, und der Benutzer wird zu einem globalen Administrator. Wenn ein Besitzer eines Abonnements jedoch ihrem Abonnement einem vorhandenen Mandanten beitritt, wird der Besitzer nicht der Rolle "Globaler Administrator" zugewiesen.

Benutzer können zwar nur über eine einzelne Authentifizierung Home- Verzeichnis verfügen, die Benutzer können jedoch als Gäste in mehreren Verzeichnissen teilnehmen. Sie können sowohl die Heim- als auch die Gastverzeichnisse für jeden Benutzer in der Microsoft Entra-ID anzeigen.

Screenshot, der die Vertrauensstellung zwischen Azure-Abonnements und Microsoft Entra-Verzeichnissen zeigt.

Wichtig

Wenn ein Abonnement einem anderen Verzeichnis zugeordnet ist, verlieren Benutzer, denen Rollen mithilfe azure-rollenbasierten Zugriffssteuerung zugewiesen wurden, ihren Zugriff verlieren. Klassische Abonnementadministratoren, einschließlich Dienstadministrator und Co-Administratoren, verlieren auch den Zugriff.

Wenn Sie Ihren Azure Kubernetes Service (AKS)-Cluster in ein anderes Abonnement verschieben oder das clustereigene Abonnement auf einen neuen Mandanten verschieben, verliert der Cluster die Funktionalität aufgrund verlorener Rollenzuweisungen und der Rechte des Dienstprinzipals. Weitere Informationen zu AKS finden Sie unter Azure Kubernetes Service (AKS).

Voraussetzungen

Führen Sie die folgenden Schritte aus, bevor Sie Ihr Abonnement zuordnen oder hinzufügen können:

  • Überprüfen Sie die folgende Liste der Änderungen, die auftreten, nachdem Sie Ihr Abonnement zugeordnet oder hinzugefügt haben, und wie Sie davon betroffen sein können:

    • Benutzer, denen Azure RBAC zugewiesene Rollen verwenden, verlieren ihren Zugriff.
    • Der Dienstadministrator und Co-Administrators verlieren den Zugriff.
    • Wenn Sie über Schlüsseltresor verfügen, kann auf sie nicht zugegriffen werden, und Sie müssen sie nach der Zuordnung beheben.
    • Wenn Sie über verwaltete Identitäten für Ressourcen wie virtuelle Computer oder Logik-Apps verfügen, müssen Sie sie nach der Zuordnung erneut aktivieren oder neu erstellen.
    • Wenn Sie über einen registrierten Azure Stack verfügen, müssen Sie ihn nach der Zuordnung erneut registrieren.

    Weitere Informationen finden Sie unter Übertragen eines Azure-Abonnements auf ein anderes Microsoft Entra-Verzeichnis.

  • Melden Sie sich mit einem Konto an, das:

    • Verfügt über eine Besitzer- Rollenzuweisung für das Abonnement. Informationen zum Zuweisen der Rolle "Besitzer" finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portals.
    • Es ist sowohl im aktuellen Verzeichnis als auch im neuen Verzeichnis vorhanden. Das aktuelle Verzeichnis ist dem Abonnement zugeordnet. Sie ordnen das neue Verzeichnis dem Abonnement zu. Weitere Informationen zum Zugriff auf ein anderes Verzeichnis finden Sie unter Hinzufügen von Microsoft Entra B2B-Benutzern für die Zusammenarbeit im Azure-Portal.
    • Stellen Sie sicher, dass Sie kein Azure Cloud Service Providers (CSP)-Abonnement (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), ein Microsoft Internal-Abonnement (MS-AZR-0015P) oder ein Microsoft Azure for Students Starter-Abonnement (MS-AZR-0144P) verwenden.

Zuordnen eines Abonnements zu einem Verzeichnis

Führen Sie die folgenden Schritte aus, um ein vorhandenes Abonnement mit Ihrer Microsoft Entra-ID zu verknüpfen:

  1. Melden Sie sich beim Azure-Portal mit der Rollenzuweisung Besitzer für das Abonnement an.

  2. Navigieren Sie zu Abonnements.

  3. Wählen Sie den Namen des Abonnements aus, das Sie verwenden möchten.

  4. Wählen Sie Verzeichnis ändernaus.

    Screenshot der Seite

  5. Überprüfen Sie alle angezeigten Warnungen, und wählen Sie dann Ändernaus.

    Screenshot, der die Seite

    Nachdem das Verzeichnis für das Abonnement geändert wurde, erhalten Sie eine Erfolgsmeldung.

  6. Wählen Sie Verzeichnisse wechseln auf der Abonnementseite aus, um zu Ihrem neuen Verzeichnis zu wechseln.

    Screenshot der Seite

    Es kann mehrere Stunden dauern, bis alles richtig angezeigt wird. Wenn es zu lange dauert, überprüfen Sie den globalen Abonnementfilter. Stellen Sie sicher, dass das verschobene Abonnement nicht ausgeblendet ist. Möglicherweise müssen Sie sich beim Azure-Portal abmelden und sich wieder anmelden, um das neue Verzeichnis anzuzeigen.

    Das Ändern des Abonnementverzeichnisses ist ein Vorgang auf Dienstebene, sodass es sich nicht auf den Besitz der Abonnementabrechnung auswirkt. Um das ursprüngliche Verzeichnis zu löschen, müssen Sie den Besitz der Abonnementabrechnung an einen neuen Kontoadministrator übertragen. Weitere Informationen zum Übertragen des Abrechnungsbesitzes finden Sie unter Übertragen des Besitzes eines Azure-Abonnements auf ein anderes Konto.

Schritte nach der Zuordnung

Nachdem Sie ein Abonnement einem anderen Verzeichnis zugeordnet haben, müssen Sie möglicherweise die folgenden Aufgaben ausführen, um Vorgänge fortzusetzen:

  1. Wenn Sie über Schlüsseltresor verfügen, müssen Sie die Mandanten-ID des Schlüsseltresors ändern. Weitere Informationen finden Sie unter Ändern einer Schlüsseltresormandanten-ID nach einer Abonnementverschiebung.

  2. Wenn Sie vom System zugewiesene verwaltete Identitäten für Ressourcen verwendet haben, müssen Sie diese Identitäten erneut aktivieren. Wenn Sie vom Benutzer zugewiesene verwaltete Identitäten verwendet haben, müssen Sie diese Identitäten erneut erstellen. Nachdem Sie die verwalteten Identitäten erneut aktiviert oder neu erstellen, müssen Sie die Berechtigungen erneut einrichten, die diesen Identitäten zugewiesen sind. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.

  3. Wenn Sie einen Azure Stack mit diesem Abonnement registriert haben, müssen Sie sich erneut registrieren. Weitere Informationen finden Sie unter Registrieren von Azure Stack Hub mit Azure.

  4. Weitere Informationen finden Sie unter Übertragen eines Azure-Abonnements auf ein anderes Microsoft Entra-Verzeichnis.

Zugehöriger Inhalt