Associar ou adicionar uma assinatura do Azure ao locatário do Microsoft Entra

Todas as assinaturas do Azure têm uma relação de confiança com um locatário do Microsoft Entra. As assinaturas dependem que esse locatário (diretório) autentique e autorize entidades de segurança e dispositivos. Quando uma assinatura expira, a instância confiável permanece, mas as entidades de segurança perdem o acesso aos recursos do Azure. As assinaturas só podem confiar em um diretório, enquanto um locatário do Microsoft Entra pode ser de confiança para várias assinaturas.

Quando um usuário se inscreve em um serviço de nuvem da Microsoft, um novo locatário do Microsoft Entram é criado e o usuário se torna membro da função de Administrador Global. No entanto, quando um proprietário de uma assinatura une sua assinatura a um locatário existente, o proprietário não é atribuído à função de Administrador Global.

Embora os usuários possam ter apenas um diretório base de autenticação, eles podem participar como convidados de vários diretórios. Você pode ver os diretórios inicial e convidado de cada usuário no Microsoft Entra ID.

Captura de tela que mostra a relação de confiança entre as assinaturas do Azure e os diretórios do Microsoft Entra.

Importante

Quando uma assinatura é associada a um diretório diferente, os usuários que têm funções atribuídas usando o controle de acesso baseado em função do Azure perdem o acesso. Os administradores de assinatura clássicos, incluindo o Administrador de Serviços e os Coadministradores, também perdem o acesso.

Mover o cluster AKS (Serviço Kubernetes do Azure) para uma assinatura diferente ou mover a assinatura proprietária do cluster para um novo locatário faz com que o cluster perca a funcionalidade devido a atribuições de função perdidas e direitos da entidade de serviço. Para obter mais informações sobre o AKS, confira AKS (Serviço de Kubernetes do Azure).

Pré-requisitos

Antes de associar ou adicionar a assinatura, realize as seguintes etapas:

  • Examine a seguinte lista de alterações que ocorrerão depois que você associar ou adicionar sua assinatura e como você pode ser afetado:

    • Os usuários aos quais foram atribuídas funções usando o RBAC do Azure perderão seu acesso.
    • Administrador de Serviços e Coadministradores perderão o acesso;.
    • Se você tiver cofres de chaves, eles ficarão inacessíveis e você precisará corrigi-los após a associação.
    • Se você tiver identidades gerenciadas para recursos como máquinas virtuais ou aplicativos lógicos, será necessário reabilitá-los ou recriá-los após a associação.
    • Se você tiver um Azure Stack registrado, será necessário registrá-lo novamente após a associação.

    Para obter mais informações, consulte Transferir uma assinatura do Azure para um diretório diferente do diretório do Microsoft Entra.

  • Entre usando uma conta que:

    • Tem uma atribuição de função de Proprietário para a assinatura. Para obter informações sobre como atribuir a função de proprietário, consulte Atribuir funções do Azure usando o portal do Azure.
    • Existe no diretório atual e no novo diretório. O diretório atual está associado à assinatura. Você associará o novo diretório à assinatura. Para obter mais informações sobre como obter acesso a outro diretório, consulte Adicionar usuários de colaboração do Microsoft Entra B2B no Portal do Azure.
    • Verifique se você não está usando uma assinatura de Provedor de Serviços de Nuvem do Azure (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), uma assinatura Interna da Microsoft (MS-AZR-0015P) ou Assinatura do Microsoft Azure for Students Starter (MS-AZR-0144P).

Associar uma assinatura a um diretório

Para associar uma assinatura existente ao seu Microsoft Entra ID, siga essas etapas:

  1. Entre no portal do Azure com a atribuição de função Proprietário da assinatura.

  2. Navegue até Assinaturas.

  3. Selecione a assinatura que você deseja usar.

  4. Selecione altere o diretório.

    Captura de tela que mostra a página assinaturas, com a opção Alterar diretório realçada.

  5. Revise todos os avisos exibidos e, em seguida, selecione Alterar.

    Captura de tela que mostra a página alterar o diretório com um diretório de exemplo e o botão Alterar realçado.

    Após o diretório ser alterado para a assinatura, você receberá uma mensagem de êxito.

  6. Selecione alternar diretórios na página de assinatura para ir para o novo diretório.

    Captura de tela que mostra a página de seletor de Diretório com informações de exemplo.

    Pode levar várias horas para que tudo seja exibido corretamente. Se parecer que está demorando muito, verifique o Filtro de assinatura global. Verifique se a assinatura movida não está oculta. Talvez seja necessário sair do portal do Azure e entrar novamente para ver o novo diretório.

    A alteração do diretório de assinatura é uma operação no nível do serviço, portanto, não afeta a propriedade do faturamento da assinatura. Para excluir o diretório original, você deve transferir a propriedade de cobrança da assinatura para um novo administrador da conta. Para saber mais sobre como transferir a propriedade de cobrança, consulte Transferir a propriedade de uma assinatura do Azure para outra conta.

Etapas pós-Associação

Depois de associar uma assinatura a um diretório diferente, talvez seja necessário realizar as seguintes tarefas para retomar as operações:

  1. Se você tiver qualquer cofre de chaves, deverá alterar a ID de locatário do cofre de chaves. Para mais informações, consulteAlterar uma ID de locatário do key vault depois de mover uma assinatura.

  2. Se você usou identidades gerenciadas atribuídas pelo sistema para recursos, você deve reabilitar essas identidades. Se você usou identidades gerenciadas atribuídas pelo usuário, deverá recriar essas identidades. Depois de habilitar novamente ou recriar as identidades gerenciadas, você deve restabelecer as permissões atribuídas a essas identidades. Para obter mais informações, consulte O que são identidades gerenciadas para recursos do Azure?.

  3. Se você tiver registrado um Azure Stack usando essa assinatura, deverá registrar novamente. Para obter mais informações, consulte Registrar Azure Stack Hub com o Azure.

  4. Para obter mais informações, consulte Transferir uma assinatura do Azure para um diretório diferente do diretório do Microsoft Entra.