Associer ou ajouter un abonnement Azure à votre locataire Microsoft Entra

Tous les abonnements Azure ont une relation d'approbation avec un locataire Microsoft Entra. Les souscriptions s'appuient sur ce locataire (répertoire) pour authentifier et autoriser les entités et les appareils de sécurité. Lorsqu’un abonnement expire, l’instance approuvée demeure, mais les entités de sécurité perdent l’accès aux ressources Azure. Les souscriptions ne peuvent approuver qu'un seul répertoire, tandis qu'un seul locataire Microsoft Entra peut être approuvé par plusieurs souscriptions.

Lorsqu'un utilisateur s'inscrit à un service cloud Microsoft, un nouveau locataire Microsoft Entra est créé et l'utilisateur devient administrateur global. Toutefois, lorsqu’un propriétaire d’un abonnement joint son abonnement à un locataire existant, le propriétaire n’est pas affecté au rôle Administrateur général.

Alors que les utilisateurs ne peuvent avoir qu’un seul annuaire de base d’authentification, les utilisateurs peuvent participer en tant qu’invités dans plusieurs annuaires. Vous pouvez voir les répertoires d'accueil et d'invité de chaque utilisateur dans Microsoft Entra ID.

Capture d’écran montrant la relation de confiance entre les abonnements Azure et les répertoires Microsoft Entra.

Important

Quand un abonnement est associé à un autre annuaire, les utilisateurs auxquels des rôles ont été attribués avec le contrôle d’accès en fonction du rôle Azure perdent leur accès. Les administrateurs d’abonnements classiques, entre autres les administrateurs de services et les coadministrateurs perdent également leur accès.

Le déplacement de votre cluster Azure Kubernetes Service (AKS) vers un autre abonnement, ou le déplacement de l’abonnement propriétaire du cluster vers un nouveau locataire, amène le cluster à perdre sa fonctionnalité en raison de la perte des attributions de rôles et des droits de principaux de service. Pour plus d’information sur AKS, consultez Azure Kubernetes Service (AKS).

Prérequis

Avant de pouvoir associer ou ajouter votre abonnement, effectuez les étapes suivantes :

  • Passez en revue la liste suivante des modifications qui se produiront après que vous ayez associé ou ajouté votre abonnement, et la façon dont cela peut vous affecter :

    • Les utilisateurs auxquels des rôles ont été attribués à l’aide d’Azure RBAC perdront leur accès.
    • L’administrateur de services fédérés et le coadministrateur perdront leur accès.
    • Si vous avez des coffres de clés, ces derniers seront inaccessibles et vous devrez les corriger après l’association.
    • Si vous disposez d'identités managées pour des ressources telles que Machines Virtuelles ou Logic Apps, vous devez les réactiver ou les recréer après l’association.
    • Si vous disposez d’un Azure Stack inscrit, vous devrez le réinscrire après l’association.

    Pour plus d’informations, consultez Transférer un abonnement Azure vers un autre répertoire Microsoft Entra.

  • Connectez-vous avec un compte qui :

    • Dispose d’une attribution de rôle Propriétaire pour l’abonnement. Pour obtenir des informations sur la procédure d’attribution de rôles propriétaire, consultez Attribuer des rôles Azure à l’aide du portail Azure.
    • Existe à la fois dans l’annuaire actif et dans le nouvel annuaire. L’annuaire actif est associé à l’abonnement. Vous associerez le nouvel annuaire à l’abonnement. Pour plus d'informations sur l'accès à un autre annuaire, consultez Ajouter des utilisateurs de collaboration Microsoft Entra B2B dans le portail Azure.
    • Veillez à ne pas utiliser d’abonnement de fournisseur de services cloud (CSP) Azure (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), Microsoft interne (MS-AZR-0015P) ou Microsoft Azure for Students Starter (MS-AZR-0144P).

Associer un abonnement à un annuaire

Pour associer un abonnement existant à votre identifiant Microsoft Entra, procédez comme suit :

  1. Connectez-vous au portail Azure avec l’attribution du rôle Propriétaire pour l’abonnement.

  2. Accédez à Souscriptions.

  3. Sélectionnez le nom de l'abonnement que vous souhaitez utiliser.

  4. Sélectionnez Changer de répertoire.

    Capture d’écran qui montre la page Abonnements, avec l’option Modifier le répertoire mis en surbrillance.

  5. Examinez les avertissements qui s’affichent, puis sélectionnez Changer.

    Capture d’écran qui montre la page Modifier le répertoire avec un exemple de répertoire et le bouton Modifier mis en surbrillance.

    Une fois le répertoire modifié pour l’abonnement, un message de réussite s’affiche.

  6. Sélectionnez Changer les annuaires sur la page de l’abonnement pour accéder à votre nouvel annuaire.

    Capture d’écran montrant la page Sélecteur de répertoire avec des informations d’exemple.

    Dans certains cas, l’affichage correct dans son intégralité peut prendre plusieurs heures. S’il semble trop long, vérifiez le Filtre d’abonnement global. Assurez-vous que l’abonnement déplacé n’est pas masqué. Vous devrez peut-être vous déconnecter du portail Azure et vous reconnecter pour que le nouvel annuaire soit visible.

    La modification du répertoire de l’abonnement est une opération de niveau de service. Elle n’affecte donc pas la propriété de facturation de l’abonnement. Pour supprimer le répertoire d’origine, vous devez transférer la propriété de facturation de l’abonnement à un nouvel administrateur du compte. Pour en savoir plus sur le transfert de la propriété de facturation, consultez Transfert de la propriété d’un abonnement Azure à un autre compte.

Étapes postérieures à l’association

Après avoir associé un abonnement à un autre annuaire, vous pouvez être amené à effectuer les tâches suivantes pour reprendre le cours des opérations :

  1. Si vous avez des coffres de clés, vous devez modifier l''ID de locataire des coffres de clés. Pour plus d’informations, consultez Modifier l’ID client d’un coffre de clés après un déplacement d’abonnement.

  2. Si vous utilisiez des identités managées attribuées par le système pour les ressources, vous devez réactiver ces identités. Si vous utilisiez des identités managées affectées par l’utilisateur pour les ressources, vous devez réactiver ces identités. Après la réactivation ou la recréation des identités managées, vous devez rétablir les autorisations attribuées à ces identités. Pour plus d’informations, consultez Que sont les identités managées pour les ressources Azure ?.

  3. Si vous avez inscrit une instance Azure Stack à l’aide de cet abonnement, vous devez procéder à une réinscription. Pour plus d’informations, consultez Enregistrez Azure Stack Hub avec Azure.

  4. Pour plus d’informations, consultez Transférer un abonnement Azure vers un autre répertoire Microsoft Entra.