所有 Azure 订阅都与 Microsoft Entra 租户具有信任关系。 订阅依赖于此租户(目录)对安全主体和设备进行身份验证和授权。 订阅过期后,受信任的实例将保持不变,但安全主体将失去对 Azure 资源的访问权限。 订阅只能信任单个目录,而一个Microsoft Entra 租户可由多个订阅信任。
默认情况下,创建 Microsoft Entra 租户的用户会自动分配 全局管理员 角色。 但是,当订阅的所有者将其订阅加入现有租户时,不会将所有者分配到全局管理员角色。
尽管用户可能只有单个身份验证 主 目录,但用户可以作为来宾参与多个目录。 可以在 Microsoft Entra ID 中查看每个用户的主目录和来宾目录。
重要
当订阅与其他目录关联时,具有使用 Azure 基于角色的访问控制分配角色的用户 将失去其访问权限。 经典订阅管理员(包括服务管理员和共同管理员)也会失去访问权限。
将 Azure Kubernetes 服务 (AKS) 群集移到其他订阅,或将群集拥有的订阅移到新租户,会导致群集因角色分配和服务主体权限丢失而失去功能。 有关 AKS 的详细信息,请参阅 Azure Kubernetes 服务 (AKS)。
先决条件
在关联或添加订阅之前,请执行以下步骤:
查看关联或添加订阅后将发生的以下更改列表,以及可能受到影响的方式:
- 使用 Azure RBAC 的用户分配的角色将失去其访问权限。
- 服务管理员和 Co-Administrators 将失去访问权限。
- 如果有任何密钥保管库,则无法访问它们,并且必须在关联后对其进行修复。
- 如果资源(如虚拟机或逻辑应用)有任何托管标识,则必须在关联后重新启用或重新创建它们。
- 如果已注册 Azure Stack,则必须在关联后重新注册它。
有关详细信息,请参阅 将 Azure 订阅传输到其他Microsoft Entra 目录。
使用:
- 具有订阅的 所有者 角色分配。 有关如何分配所有者角色的信息,请参阅 使用 Azure 门户分配 Azure 角色。
- 存在于当前目录和新目录中。 当前目录与订阅相关联。 将新目录与订阅相关联。 有关获取对另一个目录的访问权限的详细信息,请参阅 azure 门户中
添加 Microsoft Entra B2B 协作用户。 - 请确保未使用 Azure 云服务提供商(CSP)订阅(MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft内部订阅(MS-AZR-0015P)或Microsoft Azure for Students Starter 订阅(MS-AZR-0144P)。
将订阅关联到目录
若要将现有订阅与 Microsoft Entra ID 相关联,请执行以下步骤:
浏览到 订阅。
选择要使用的订阅的名称。
选择 更改目录。
查看显示的任何警告,然后选择“更改
。 
更改订阅的目录后,将收到一条成功消息。
选择 在订阅页上 切换目录,转到新目录。
一切都可能需要几个小时才能正确显示。 如果看起来花费的时间过长,请检查 全局订阅筛选器。 确保移动的订阅未隐藏。 可能需要注销 Azure 门户并重新登录才能看到新目录。
更改订阅目录是一项服务级别操作,因此不会影响订阅计费所有权。 若要删除原始目录,必须将订阅计费所有权转让给新的帐户管理员。若要了解有关转移计费所有权的详细信息,请参阅 将 Azure 订阅的所有权转让给另一个帐户。
关联后步骤
将订阅与其他目录关联后,可能需要执行以下任务才能恢复操作:
如果有任何密钥保管库,则必须更改密钥保管库租户 ID。 有关详细信息,请参阅 在订阅移动后更改密钥保管库租户 ID。
如果对资源使用了系统分配的托管标识,则必须重新启用这些标识。 如果使用了用户分配的托管标识,则必须重新创建这些标识。 重新启用或重新创建托管标识后,必须重新建立分配给这些标识的权限。 有关详细信息,请参阅 什么是 Azure 资源的托管标识?。
如果已使用此订阅注册 Azure Stack,则必须重新注册。 有关详细信息,请参阅 将 Azure Stack Hub 注册到 Azure。
有关详细信息,请参阅 将 Azure 订阅传输到其他Microsoft Entra 目录。