Microsoft Entra テナントに Azure サブスクリプションを関連付ける、または追加する

Azure サブスクリプションは、Microsoft Entra テナント との間に信頼関係があります。 サブスクリプションはこのテナント (ディレクトリ) に依存して、セキュリティ プリンシパルとデバイスの認証と承認を行います。 サブスクリプションの有効期限が切れると、信頼されたインスタンスは残りますが、セキュリティ プリンシパルでは、Azure リソースへのアクセスが失われます。 サブスクリプションは 1 つのディレクトリのみを信頼できます (関連付けられる) が、1 つの Microsoft Entra テナントは複数のサブスクリプションから信頼されることができます。

ユーザーが Microsoft のクラウド サービスに新規登録すると、新しい Microsoft Entra テナントが作成され、そのユーザーがグローバル管理者となります。 ただし、サブスクリプションの所有者が自分のサブスクリプションを既存のテナントに参加させるとき、その所有者は全体管理者ロールに割り当てられません。

ユーザーは認証 "ホーム" ディレクトリを 1 つだけ持つことができますが、ユーザーは複数のディレクトリにゲストとして参加できます。 Microsoft Entra ID では、各ユーザーのホーム ディレクトリとゲスト ディレクトリの両方を確認できます。

Azure サブスクリプションと Microsoft Entra ディレクトリとの間の信頼関係を示すスクリーンショット。

重要

サブスクリプションが別のディレクトリに関連付けられると、Azure ロールベースのアクセス制御を使用してロールが割り当てられているユーザーはアクセス権を失います。 サービス管理者や共同管理者などの従来のサブスクリプション管理者もアクセスできなくなります。

Azure Kubernetes Service (AKS) クラスターを別のサブスクリプションに移したり、クラスターを所有するサブスクリプションを新しいテナントに移したりすると、ロールの割り当てやサービス プリンシパルの権限が失われるため、クラスターの機能が失われることになります。 AKS の詳細については、「Azure Kubernetes Service (AKS)」を参照してください。

前提条件

サブスクリプションの関連付けまたは追加を行う前に、次の手順を実行してください。

  • サブスクリプションを関連付けたり追加したりした後に行われる変更の一覧と、その影響を確認してください。

    • Azure RBAC を使用してロールが割り当てられているユーザーはアクセスできなくなります。
    • サービス管理者と共同管理者はアクセスできなくなります。
    • キー コンテナーがある場合はアクセスできなくなり、関連付けを行った後にそれらを修正する必要があります。
    • 仮想マシンやロジック アプリなどのリソースのマネージド ID を持っている場合は、関連付け後にそれらを再度有効にするか再作成する必要があります。
    • 登録されている Azure Stack がある場合は、関連付けを行った後に再登録が必要になります。

    詳細については、Azure サブスクリプションを別の Microsoft Entra ディレクトリに移転するに関するページを参照してください。

  • 次のようなアカウントを使用してサインインします。

    • サブスクリプションの所有者ロールが割り当てられているアカウント。 所有者ロールの割り当て方法について詳しくは、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。
    • 現在のディレクトリと新しいディレクトリの両方に存在する。 現在のディレクトリはサブスクリプションに関連付けられています。 新しいディレクトリをそのサブスクリプションに関連付けます。 別のディレクトリへのアクセスの取得に関する詳細は、「Azure portal で Microsoft Entra B2B コラボレーション ユーザーを追加する」を参照してください。
    • Azure クラウド サービス プロバイダー (CSP) サブスクリプション (MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft 内部サブスクリプション (MS-AZR-0015P)、または Microsoft Azure for Students Starter サブスクリプション (MS-AZR-0144P) を使用していないことを確認します。

サブスクリプションをディレクトリに関連付ける

既存のサブスクリプションを Microsoft Entra ID に関連付けるには、次の手順を実行します。

  1. サブスクリプションの所有者ロールの割り当てを使用して、Azure portal にサインインします。

  2. サブスクリプション を参照します。

  3. 使用するサブスクリプションの名前を選択します。

  4. [ディレクトリの変更] を選択します。

    [サブスクリプション] ページを示すスクリーンショット。[ディレクトリの変更] オプションが強調表示されています。

  5. 表示されたすべての警告を確認してから、 [変更] を選択します。

    サンプル ディレクトリと [変更] ボタンが強調表示されている [ディレクトリの変更] ページを示すスクリーンショット。

    サブスクリプションのディレクトリが変更されると、成功メッセージが表示されます。

  6. [サブスクリプション] ページで [ディレクトリの切り替え] を選択し、新しいディレクトリに移動します。

    サンプル情報を含む [ディレクトリの切り替え] ページを示すスクリーンショット。

    すべてが適切に表示されるまでに数時間かかる場合があります。 時間がかかりすぎていると思われる場合は、 [グローバルなサブスクリプション フィルター] を確認します。 移動したサブスクリプションが非表示になっていないことを確認します。 一度 Azure portal からサインアウトしてから再びサインインしないと、新しいディレクトリが表示されない場合があります。

    サブスクリプションのディレクトリの変更はサービス レベルの操作であるため、サブスクリプションの課金所有権には影響しません。 元のディレクトリを削除するには、新しいアカウント管理者にサブスクリプションの課金所有権を譲渡する必要があります。課金所有権を別のアカウントに譲渡するには、「Azure サブスクリプションの所有権を別のアカウントに譲渡する」を参照してください。

関連付け後の手順

サブスクリプションを別のディレクトリに関連付けた後、次のタスクを実行しないと操作が再開されない場合があります。

  1. キー コンテナーがある場合は、キー コンテナーのテナント ID を変更する必要があります。 詳細については、「サブスクリプション移行後のキー コンテナー テナント ID の変更」を参照してください。

  2. リソースにシステム割り当てマネージド ID を使用していた場合は、それらの ID を再度有効にする必要があります。 ユーザー割り当てマネージド ID を使用していた場合は、それらの ID を再作成する必要があります。 マネージド ID を再度有効にするか再作成した後、それらの ID に割り当てられているアクセス許可を再確立する必要があります。 詳細については、「Azure リソースのマネージド ID とは」を参照してください。

  3. このサブスクリプションを使用して Azure Stack を登録した場合は、再登録する必要があります。 詳細については、Azure を使用した Azure Stack Hub の登録に関するページを参照してください。

  4. 詳細については、Azure サブスクリプションを別の Microsoft Entra ディレクトリに移転するに関するページを参照してください。