Associare o aggiungere una sottoscrizione di Azure al tenant di Microsoft Entra

  • Articolo

Tutte le sottoscrizioni di Azure hanno una relazione di trust con un tenant di Microsoft Entra. Le sottoscrizioni si basano su questo tenant (directory) per autenticare e autorizzare le entità di sicurezza e i dispositivi. Quando scade una sottoscrizione, l'istanza attendibile rimane, ma le entità di sicurezza perdono l'accesso alle risorse di Azure. Le sottoscrizioni possono considerare attendibile solo una singola directory mentre un tenant Microsoft Entra può essere considerato attendibile da più sottoscrizioni.

Quando un utente accede a un servizio cloud Microsoft, viene creato un nuovo tenant Microsoft Entra e l'utente viene creato un amministratore globale. Tuttavia, quando un proprietario di una sottoscrizione aggiunge la sottoscrizione a un tenant esistente, il proprietario non viene assegnato al ruolo Amministratore globale.

Anche se gli utenti possono avere solo una singola home directory di autenticazione, gli utenti possono partecipare come guest in più directory. È possibile visualizzare sia le directory home che guest per ogni utente in Microsoft Entra ID.

Screenshot che mostra la relazione di trust tra le sottoscrizioni di Azure e le directory attive di Azure.

Importante

Quando una sottoscrizione è associata a una directory diversa, gli utenti che hanno ruoli assegnati usando il controllo di accesso basato sul ruolo di Azure perdono l'accesso. Anche gli amministratori delle sottoscrizioni classiche, tra cui l'amministratore del servizio e i coamministratori, perdono l'accesso.

Lo spostamento del cluster del servizio Azure Kubernetes (AKS) in una sottoscrizione diversa o lo spostamento della sottoscrizione proprietaria del cluster in un nuovo tenant causa la perdita della funzionalità del cluster a causa di assegnazioni di ruolo e diritti dell'entità servizio persi. Per altre informazioni sul servizio Azure Kubernetes, vedere Servizio Azure Kubernetes.

Prima di iniziare

Prima di poter associare o aggiungere la sottoscrizione, seguire questa procedura:

  • Esaminare l'elenco seguente delle modifiche che si verificheranno dopo l'associazione o l'aggiunta della sottoscrizione e il modo in cui si potrebbe essere interessati:

    • Gli utenti a cui sono stati assegnati ruoli usando il controllo degli accessi in base al ruolo di Azure perderanno l'accesso.
    • L'amministratore del servizio e il coamministratore perderanno l'accesso.
    • Se sono presenti insiemi di credenziali delle chiavi, saranno inaccessibili e sarà necessario correggerli dopo l'associazione.
    • Se sono presenti identità gestite per risorse come macchine virtuali o app per la logica, è necessario riabilitarle o ricrearle dopo l'associazione.
    • Se si dispone di un Azure Stack registrato, sarà necessario registrarlo di nuovo dopo l'associazione.

    Per altre informazioni, vedere Trasferire una sottoscrizione di Azure a una directory di Microsoft Entra diversa.

  • Accedere con un account che:

    • Ha un'assegnazione di ruolo Proprietario per la sottoscrizione. Per informazioni su come assegnare il ruolo Proprietario, vedere Assegnare ruoli di Azure usando la portale di Azure.
    • Esiste sia nella directory corrente che nella nuova directory. La directory corrente è associata alla sottoscrizione. La nuova directory verrà associata alla sottoscrizione. Per altre informazioni sull'accesso a un'altra directory, vedere Aggiungere Microsoft Entra utenti di collaborazione B2B nell'portale di Azure.
    • Assicurarsi di non usare una sottoscrizione provider di servizi cloud di Azure (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), una sottoscrizione interna Microsoft (MS-AZR-0015P) o una sottoscrizione Microsoft Azure for Students Starter (MS-AZR-0144P).

Associare una sottoscrizione a una directory

Per associare una sottoscrizione esistente all'ID Microsoft Entra, seguire questa procedura:

  1. Accedere alla portale di Azure con l'assegnazione di ruolo Proprietario per la sottoscrizione.

  2. Passare a Sottoscrizioni.

  3. Selezionare il nome della sottoscrizione da usare.

  4. Selezionare Cambia directory.

    Screenshot che mostra la pagina Sottoscrizioni, con l'opzione Modifica directory evidenziata.

  5. Esaminare eventuali avvisi che vengono visualizzati e selezionare Cambia.

    Screenshot che mostra la pagina Modifica della directory con una directory di esempio e il pulsante Cambia evidenziato.

    Quando la directory è stata modificata per la sottoscrizione, viene visualizzato un messaggio di operazione riuscita.

  6. Selezionare Cambia directory nella pagina della sottoscrizione per passare alla nuova directory.

    Screenshot che mostra la pagina del commutatore directory con informazioni di esempio.

    La visualizzazione corretta di tutti gli elementi può richiedere diverse ore. Se sembra essere troppo lungo, controllare il filtro Sottoscrizione globale. Assicurarsi che la sottoscrizione spostata non sia nascosta. Potrebbe essere necessario disconnettersi dal portale di Azure e accedere di nuovo per visualizzare la nuova directory.

La modifica della directory della sottoscrizione è un'operazione a livello di servizio, pertanto non influisce sulla proprietà della fatturazione della sottoscrizione. Per eliminare la directory originale, è necessario trasferire la proprietà di fatturazione della sottoscrizione a un nuovo amministratore account. Per altre informazioni sul trasferimento della proprietà di fatturazione, vedere Trasferire la proprietà di una sottoscrizione di Azure a un altro account.

Passaggi successivi all'associazione

Dopo aver associato una sottoscrizione a una directory diversa, potrebbe essere necessario eseguire le attività seguenti per riprendere le operazioni:

Passaggi successivi