Editar

Compartilhar via

Associar ou adicionar uma assinatura do Azure ao locatário do Microsoft Entra

  • Como fazer

Todas as assinaturas do Azure têm uma relação de confiança com um locatário do Microsoft Entra. As assinaturas dependem desse locatário (diretório) para autenticar e autorizar entidades de segurança e dispositivos. Quando uma assinatura expira, a instância confiável permanece, mas as entidades de segurança perdem o acesso aos recursos do Azure. As assinaturas só podem confiar em um único diretório, enquanto um locatário do Microsoft Entra pode ser confiável por várias assinaturas.

Quando um usuário se inscreve em um serviço de nuvem da Microsoft, um novo locatário do Microsoft Entra é criado e o usuário se torna um Administrador Global. No entanto, quando um proprietário de uma assinatura ingressa sua assinatura em um locatário existente, o proprietário não é atribuído à função de Administrador Global.

Embora os usuários possam ter apenas uma autenticação diretório inicial, os usuários podem participar como convidados em vários diretórios. Você pode ver os diretórios doméstico e convidado para cada usuário na ID do Microsoft Entra.

Captura de tela que mostra a relação de confiança entre as assinaturas do Azure e os diretórios do Microsoft Entra.

Importante

Quando uma assinatura é associada a um diretório diferente, os usuários que têm funções atribuídas usando controle de acesso baseado em função do Azure perdem o acesso. Administradores de assinatura clássicos, incluindo Administrador de Serviços e Coadministradores, também perdem o acesso.

Mover o cluster do AKS (Serviço de Kubernetes do Azure) para uma assinatura diferente ou mover a assinatura proprietária do cluster para um novo locatário faz com que o cluster perca a funcionalidade devido a atribuições de função perdidas e direitos da entidade de serviço. Para obter mais informações sobre o AKS, consulte do AKS (Serviço de Kubernetes do Azure).

Pré-requisitos

Antes de associar ou adicionar sua assinatura, execute as seguintes etapas:

  • Examine a seguinte lista de alterações que ocorrerão depois de associar ou adicionar sua assinatura e como você pode ser afetado:

    • Os usuários atribuídos a funções usando o RBAC do Azure perdem o acesso.
    • O Administrador de Serviços e Co-Administrators perderão o acesso.
    • Se você tiver cofres de chaves, eles ficarão inacessíveis e você terá que corrigi-los após a associação.
    • Se você tiver identidades gerenciadas para recursos como Máquinas Virtuais ou Aplicativos Lógicos, será necessário habilitá-las novamente ou recriá-las após a associação.
    • Se você tiver um Azure Stack registrado, precisará registrá-lo novamente após a associação.

    Para obter mais informações, consulte Transferir uma assinatura do Azure para um diretório do Microsoft Entra diferente.

  • Entre usando uma conta que:

    • Tem uma atribuição de função Proprietário para a assinatura. Para obter informações sobre como atribuir a função proprietário, consulte Atribuir funções do Azure usando o portal do Azure.
    • Existe no diretório atual e no novo diretório. O diretório atual está associado à assinatura. Você associa o novo diretório à assinatura. Para obter mais informações sobre como obter acesso a outro diretório, consulte Adicionar usuários de colaboração do Microsoft Entra B2B no portal do Azure.
    • Verifique se você não está usando uma assinatura do Azure Cloud Service Providers (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), uma assinatura interna da Microsoft (MS-AZR-0015P) ou uma assinatura do Microsoft Azure for Students Starter (MS-AZR-0144P).

Associar uma assinatura a um diretório

Para associar uma assinatura existente à sua ID do Microsoft Entra, siga estas etapas:

  1. Entre no portal do do Azure com a atribuição de função proprietário do para a assinatura.

  2. Navegue atéassinaturas de .

  3. Selecione o nome da assinatura que você deseja usar.

  4. Selecione Alterar diretório.

    Captura de tela que mostra a página Assinaturas, com a opção Alterar diretório realçada.

  5. Examine os avisos exibidos e selecione Alterar.

    Captura de tela que mostra a página Alterar o diretório com um diretório de exemplo e o botão Alterar realçado.

    Depois que o diretório for alterado para a assinatura, você receberá uma mensagem de sucesso.

  6. Selecione Alternar diretórios na página de assinatura para acessar seu novo diretório.

    Captura de tela que mostra a página do comutador de Diretório com informações de exemplo.

    Pode levar várias horas para que tudo apareça corretamente. Se parecer que está demorando muito, verifique ode filtro de assinatura global do . Verifique se a assinatura movida não está oculta. Talvez seja necessário sair do portal do Azure e entrar novamente para ver o novo diretório.

    Alterar o diretório de assinatura é uma operação de nível de serviço, portanto, ela não afeta a propriedade de cobrança da assinatura. Para excluir o diretório original, você deve transferir a propriedade de cobrança da assinatura para um novo Administrador de Conta. Para saber mais sobre como transferir a propriedade de cobrança, consulte Transferir a propriedade de uma assinatura do Azure para outra conta.

Etapas pós-associação

Depois de associar uma assinatura a um diretório diferente, talvez seja necessário realizar as seguintes tarefas para retomar as operações:

  1. Se você tiver cofres de chaves, deverá alterar a ID do locatário do cofre de chaves. Para obter mais informações, consulte Alterar uma ID de locatário do cofre de chaves após uma movimentação de assinatura.

  2. Se você usou identidades gerenciadas atribuídas pelo sistema para recursos, deverá reabilitar essas identidades. Se você usou identidades gerenciadas atribuídas pelo usuário, será necessário recriar essas identidades. Depois de reabilitar ou recriar as Identidades Gerenciadas, você deve restabelecer as permissões atribuídas a essas identidades. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure?.

  3. Se você registrou um Azure Stack usando essa assinatura, deverá se registrar novamente. Para obter mais informações, consulte Registrar o Azure Stack Hub com o Azure.

  4. Para obter mais informações, consulte Transferir uma assinatura do Azure para um diretório do Microsoft Entra diferente.

Conteúdo relacionado