Asociación o adición de una suscripción de Azure al inquilino de Microsoft Entra

Todas las suscripciones de Azure tienen una relación de confianza con un inquilino de Microsoft Entra. Las suscripciones se basan en este inquilino (directorio) para autenticar y autorizar entidades de seguridad y dispositivos. Cuando expira una suscripción, la instancia de confianza se conserva, pero las entidades de seguridad pierden el acceso a los recursos de Azure. Las suscripciones solo pueden confiar en un único directorio, mientras que un inquilino de Microsoft Entra puede ser de confianza para varias suscripciones.

Cuando un usuario se suscribe a un servicio en la nube de Microsoft, se crea un nuevo inquilino de Microsoft Entra y el usuario se convierte en administrador global. Sin embargo, cuando un propietario de una suscripción une su suscripción a un inquilino existente, el propietario no se asigna al rol de administrador global.

Aunque los usuarios solo pueden tener un único directorio principal de autenticación, los usuarios pueden participar como invitados en varios directorios. Puede ver los directorios principales e invitados para cada usuario en Microsoft Entra ID.

Captura de pantalla que muestra la relación de confianza entre las suscripciones de Azure y los directorios de Microsoft Entra.

Importante

Al asociar una suscripción con otro directorio, los usuarios que tienen roles asignados mediante el control de acceso basado en rol de Azure pierden el acceso. Los administradores de suscripciones clásicas, incluidos el administrador y los coadministradores del servicio, también pierden el acceso.

El traslado del clúster de Azure Kubernetes Service (AKS) a otra suscripción o el traslado de la suscripción propietaria del clúster a un nuevo inquilino, provoca que el clúster pierda funcionalidad debido a la pérdida de asignaciones de roles y derechos de las entidades de servicio. Para obtener más información sobre AKS, consulte Azure Kubernetes Service (AKS).

Requisitos previos

Para poder asociar o agregar la suscripción, debe seguir los pasos siguientes:

  • Revise la siguiente lista de cambios que se producirán después de asociar o agregar su suscripción e infórmese sobre cómo podría verse afectado:

    • Los usuarios a los que se haya asignado roles mediante Azure RBAC perderán el acceso.
    • Tanto el administrador como los coadministradores del servicio perderán el acceso.
    • Si tiene almacenes de claves, no podrá acceder a ellos y tendrá que repararlos después de la asociación.
    • Si tiene identidades administradas para recursos, como Virtual Machines o Logic Apps, debe volver a habilitarlas o a crearlas después de la asociación.
    • Si tiene una instancia de Azure Stack registrada, tendrá que volver a registrarla después de la asociación.

    Para más información, consulte Transferencia de una suscripción de Azure a otro directorio de Microsoft Entra.

  • Iniciar sesión con una cuenta que:

    • Tiene una asignación de rol Propietario para la suscripción. Para más información sobre la asignación del rol Propietario, consulte Asignaciones de roles de Azure mediante Azure Portal.
    • Exista en el directorio actual y en el nuevo directorio. El directorio actual está asociado a la suscripción. Va a asociar el nuevo directorio a la suscripción. Para más información sobre cómo obtener acceso a otro directorio, consulte Adición de usuarios de colaboración B2B de Microsoft Entra en Azure Portal.
    • Asegúrese de que no usa una suscripción de proveedores de servicios en la nube de Azure (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), una suscripción interna de Microsoft (MS-AZR-0015P) ni una suscripción a Microsoft Azure for Students Starter (MS-AZR-0144P).

Asociación de una suscripción a un directorio

Para asociar una suscripción existente con el identificador de Microsoft Entra ID, siga estos pasos:

  1. Inicie sesión en Azure Portal con la asignación de roles Propietario de la suscripción.

  2. Vaya a Suscripciones.

  3. Seleccione el nombre de la suscripción que desea usar.

  4. Seleccione Cambiar directorio.

    Captura de pantalla que muestra la página Suscripciones, con la opción Cambiar directorio resaltada.

  5. Revise las advertencias que aparecen y, a continuación, seleccione Cambiar.

    Captura de pantalla que muestra la página Cambiar el directorio con un directorio de ejemplo y el botón Cambiar resaltado.

    Una vez que se cambie el directorio para la suscripción, recibirá un mensaje de confirmación.

  6. Seleccione Cambiar directorios en la página suscripción para ir al nuevo directorio.

    Captura de pantalla que muestra la página del conmutador de directorio con información de ejemplo.

    Puede tardar varias horas hasta que todo se muestre correctamente. Si parece que tarda demasiado tiempo, compruebe el filtro de suscripción global. Asegúrese de que la suscripción que se ha trasladado no esté oculta. Es posible que tenga que cerrar la sesión de Azure Portal y volver a iniciarla para ver el directorio nuevo.

    Cambiar el directorio de suscripción es una operación de nivel de servicio, por lo que no afecta a la propiedad de facturación de suscripción. Para eliminar el directorio original, debe transferir la propiedad de facturación de suscripción a un nuevo administrador de cuenta. Para más información acerca de cómo transferir la propiedad de facturación, vea Transferencia de la propiedad de una suscripción de Azure a otra cuenta.

Pasos posteriores a la asociación

Después de asociar una suscripción a un directorio diferente, puede que tenga que realizar las tareas siguientes para reanudar las operaciones:

  1. Si tiene almacenes de claves, debe cambiar el Id. de inquilino del almacén de claves. Para más información, consulte Cambio del identificador de inquilino de Key Vault después de mover una suscripción.

  2. Si usaba identidades administradas asignadas por el sistema para los recursos, debe volver a habilitar estas identidades. Si usaba identidades administradas asignadas por el usuario, debe volver a crear estas identidades. Después de volver a habilitar o crear las identidades administradas, debe volver a restablecer los permisos asignados a esas identidades. Para más información, consulte ¿Qué es Managed Identities for Azure Resources?

  3. Si ha registrado una instancia de Azure Stack que usa esta suscripción, debe volver a registrarla. Para más información, consulte Registro de Azure Stack Hub con Azure.

  4. Para más información, consulte Transferencia de una suscripción de Azure a otro directorio de Microsoft Entra.