快出海  > 微软云  >  将 Azure 订阅关联或添加到 Azure Active Directory 租户

将 Azure 订阅关联或添加到 Azure Active Directory 租户

来源:Microsoft Azure
作者:Microsoft Azure
时间:2020-11-30

Azure订阅与Azure Active Directory(Azure AD)之间存在信任关系。订阅信任Azure AD对用户、服务和设备执行身份验证。

多个订阅可以信任同一个Azure AD目录。每个订阅只能信任一个目录。

一个或多个Azure订阅可以与Azure Active Directory(Azure AD)实例建立信任关系,以便针对Azure服务对安全主体和设备进行身份验证和授权。订阅过期时,受信任的Azure AD服务实例会保留,但安全主体将失去对Azure资源的访问权限。

当用户注册Microsoft云服务时,将创建一个新的Azure AD租户,并使该用户成为全局管理员角色的成员。但是,当订阅的所有者将其订阅加入现有租户时,系统不会将该所有者分配到全局管理员角色。

所有用户都有一个用于身份验证的“主”目录。用户还可以充当其他目录中的来宾。可在Azure AD中查看每位用户的主目录和来宾目录。

重要

将订阅与其他目录关联时,如果用户的角色是使用Azure基于角色的访问控制分配的,则用户将失去其访问权限。经典订阅管理员(包括服务管理员和共同管理员)也会失去访问权限。

如果将Azure Kubernetes服务(AKS)群集移到其他订阅,或者将拥有该群集的订阅移到新租户,该群集将会由于失去角色分配和服务主体权限而丢失功能。有关AKS的详细信息,请参阅Azure Kubernetes服务(AKS)。

准备阶段

在关联或添加订阅之前,请执行以下任务:

查看下述在关联或添加订阅后会发生的更改的列表,以及你可能受到的具体影响:

已使用Azure RBAC为其分配了角色的用户将失去其访问权限

服务管理员和共同管理员将失去其访问权限

如果你有任何密钥保管库,这些密钥保管库将无法访问,而且你必须在关联后对其进行修复

如果对资源(例如虚拟机或逻辑应用)使用任何托管标识,则必须在关联后重新启用或重新创建这些标识

如果拥有已注册的Azure Stack,则将必须在关联后重新注册它

有关详细信息,请参阅将Azure订阅转移到其他Azure AD目录。

使用符合以下条件的帐户登录:

具有该订阅的所有者角色分配。有关如何分配所有者角色的信息,请参阅使用Azure门户添加或删除Azure角色分配。

在当前目录和新目录中存在。当前目录已与订阅相关联。要将新目录与订阅相关联。若要详细了解如何获取其他目录的访问权限,请参阅在Azure门户中添加Azure Active Directory B2B协作用户。

请确保未使用Azure云服务提供商(CSP)订阅(MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft内部订阅(MS-AZR-0015P)或Microsoft Imagine订阅(MS-AZR-0144P)。

将订阅关联到目录

若要将现有订阅关联到Azure AD目录,请执行以下步骤:

1.登录,然后从Azure门户中的“订阅”页面选择要使用的订阅。

2.选择“更改目录”。

change-directory-in-azure-subscriptions.png

3.查看出现的任何警告,然后选择“更改”。

edit-directory-ui.png

订阅目录更改后,会显示一条成功消息。

4.选择订阅页上的“切换目录”,转到新目录。

directory-switcher.png

正确显示所有内容可能需要数小时。如果时间看起来太长,请查看“全局订阅筛选器”。确保未隐藏移动的订阅。可能需要注销Azure门户并重新登录才能查看新目录。

更改订阅目录是服务级操作,不会影响订阅的账单所有权。若要删除原始目录,必须将订阅的账单所有权转让给新的帐户管理员。若要详细了解如何转让账单所有权,请参阅将Azure订阅所有权转让给其他帐户。

关联后的步骤

将订阅关联到不同的目录后,可能需要执行以下任务来恢复操作:

如果有任何密钥保管库,则必须更改该密钥保管库租户ID。有关详细信息,请参阅在订阅移动后更改密钥保管库租户ID。

如果对资源使用了系统分配的托管标识,则必须重新启用这些标识。如果使用了用户分配的托管标识,则必须重新创建这些标识。重新启用或重新创建托管标识后,必须重新建立分配给这些标识的权限。有关详细信息,请参阅什么是Azure资源的托管标识?。

如果已使用此订阅注册了Azure Stack,则必须重新注册。有关详细信息,请参阅将Azure Stack注册到Azure。

有关详细信息,请参阅将Azure订阅转移到其他Azure AD目录。

版权说明

本文内容来自于Microsoft Azure,本站不拥有所有权,不承担相关法律责任。文章内容系作者个人观点,不代表快出海对观点赞同或支持。如有侵权,请联系管理员(hj@kchuhai.com)删除!

相关文章
Azure Monitor 概述
Azure Monitor 概述
Azure Monitor提供用于收集、分析和处理来自云与本地环境的遥测数据的综合解决方案,可将应用程序和服务的可用性和性能最大化。它可以帮助你了解应用程序的性能,并主动识别影响应用程序及其所依赖资源的问题。
2天前
在 Azure 中选择适当的 MySQL Server 选项
在 Azure 中选择适当的 MySQL Server 选项
在Azure中,MySQL服务器工作负荷可以在托管的虚拟机基础结构即服务(IaaS)中运行,或者作为托管的平台即服务(PaaS)运行。在IaaS和PaaS之间选择时,必须决定是要管理数据库、应用修补程序并进行备份,还是要将这些操作委托给Azure。
2天前
Azure SQL 数据库:如何手动设置发送心跳信号防止数据库连接过期
Azure SQL 数据库:如何手动设置发送心跳信号防止数据库连接过期
应用客户端需要先通过Azure网关(Gateway)才能连接到Azure上的PaaS数据库(例如Azure SQL Database,MySQL Database on Azure等),网关连接的默认设置是四分钟,若四分钟内无数据包发送,该连接会过期。
5天前
Azure Active Directory:RBAC 如何更新已有自定义角色的可分配范围
Azure Active Directory:RBAC 如何更新已有自定义角色的可分配范围
基于角色的访问控制(RBAC)是在Azure资源管理器基础上构建的授权系统,针对Azure中的资源提供精细的访问权限管理。
5天前
Azure Active Directory:如何自定义角色属性以限制用户访问活动日志
Azure Active Directory:如何自定义角色属性以限制用户访问活动日志
管理员有时需要根据组织的需求限制Azure AD用户访问特定资源的权限,本文描述的是如何而设置RBAC role以允许用户读取Azure Monitor中除活动日志以外的所有信息。
5天前
服务商推荐 更多 >
太平洋电信股份有限公司
太平洋电信
太平洋电信为游戏、电商等客户提供低延时、高可靠的多点互联、企业上云、全球移动应用测试、主机托管等服务。通过与澳大利亚电信合作,凭借在全球丰富的海缆网络资源及多年的国际化运营经验,助力企业业务出海布局。 更多产品详情,请访问官方网站:https:www.t-pbs.com
云服务
北京云中融信网络科技有限公司
融云
融云为全球开发者和企业提供 IM即时通讯和实时音视频通信云服务,独立的海外数据中心,全球 30 万+应用的通信选择。一套 SDK 解决所有通信场景,快速集成,1天实现跨国互动,实时沟通,助力应用出海
云服务
凝视数科(北京)科技有限公司
Appstare
Apple Search Ads 代投,美国真人积分墙,FB | GG代投代运营
推广
EBANX
EBANX
EBANX是一家拥有拉丁美洲DNA的全球金融科技公司。 该公司成立于2012年,在跨境电子商务交易流程中提供端到端支付解决方案,为渴望在全世界扩展的全球商家提供100多种拉丁美洲本地支付选项。 EBANX已帮助500多家商家扩展到拉丁美洲,超过4000万拉丁美洲人获得了全球服务和产品。
支付
Lotusia 新加坡企业咨询
Lotusia 新加坡企业咨询
新加坡注册公司,开设银行账户,公司法定秘书,公司会计年审,税务咨询与合规,法定审计,企业家新加坡身份,公司咨询与新加坡相关商业服务
本地化推广
深圳哈希信息技术有限公司
哈希信息
深圳哈希信息技术有限公司成立于2018年,是国内领先的智能网络服务提供商,基于软件定义网络、下一代网络协议、大数据等技术研发面向不同行业领域的产品和解决方案,秉着“专业、创新、信任、分享“的核心价值观,致力为客户提供一个高效可靠的流量云平台。公司对外提供分发云(CDN)、加速云(动态加速)、安全云(防DDOS&云WAF)、流量云(广告交易)、边缘云、短信云等多个云产品,帮助游戏/资讯等互联网公司构建、加速和更好的保护核心业务。
云服务变现
小程序
公众号
商务合作
投稿采访
出海管家