Todas as assinaturas do Azure têm uma relação de confiança com um locatário do Microsoft Entra. As assinaturas dependem que esse locatário (diretório) autentique e autorize entidades de segurança e dispositivos. Quando uma assinatura expira, a instância confiável permanece, mas as entidades de segurança perdem o acesso aos recursos do Azure. As assinaturas só podem confiar em um diretório, enquanto um locatário do Microsoft Entra pode ser de confiança para várias assinaturas.
Quando um usuário se inscreve em um serviço de nuvem da Microsoft, um novo locatário do Microsoft Entram é criado e o usuário se torna membro da função de Administrador Global. No entanto, quando um proprietário de uma assinatura une sua assinatura a um locatário existente, o proprietário não é atribuído à função de Administrador Global.
Embora os usuários possam ter apenas um diretório base de autenticação, eles podem participar como convidados de vários diretórios. Você pode ver os diretórios inicial e convidado de cada usuário no Microsoft Entra ID.
Importante
Quando uma assinatura é associada a um diretório diferente, os usuários que têm funções atribuídas usando o controle de acesso baseado em função do Azure perdem o acesso. Os administradores de assinatura clássicos, incluindo o Administrador de Serviços e os Coadministradores, também perdem o acesso.
Mover o cluster AKS (Serviço Kubernetes do Azure) para uma assinatura diferente ou mover a assinatura proprietária do cluster para um novo locatário faz com que o cluster perca a funcionalidade devido a atribuições de função perdidas e direitos da entidade de serviço. Para obter mais informações sobre o AKS, confira AKS (Serviço de Kubernetes do Azure).