Associar ou adicionar uma assinatura do Azure ao seu locatário do Microsoft Entra

Todas as assinaturas do Azure têm uma relação de confiança com um locatário do Microsoft Entra. As subscrições dependem deste inquilino (diretório) para autenticar e autorizar entidades de segurança e dispositivos. Quando uma assinatura expira, a instância confiável permanece, mas as entidades de segurança perdem o acesso aos recursos do Azure. As assinaturas só podem confiar em um único diretório, enquanto um locatário do Microsoft Entra pode ser confiável por várias assinaturas.

Quando um usuário se inscreve em um serviço de nuvem da Microsoft, um novo locatário do Microsoft Entra é criado e o usuário se torna um Administrador Global. No entanto, quando um proprietário de uma subscrição associa a subscrição a um inquilino existente, o proprietário não é atribuído à função Administrador Global.

Embora os usuários possam ter apenas um único diretório base de autenticação, os usuários podem participar como convidados em vários diretórios. Pode ver os diretórios raiz e de convidado de cada utilizador no Microsoft Entra ID.

Captura de ecrã que mostra a relação de confiança entre as subscrições do Azure e os diretórios do Microsoft Entra.

Importante

Quando uma assinatura é associada a um diretório diferente, os usuários que têm funções atribuídas usando o controle de acesso baseado em função do Azure perdem o acesso. Os administradores de subscrição clássicos, incluindo o Administrador de Serviços e os Coadministradores, também perdem o acesso.

Mover o cluster do Azure Kubernetes Service (AKS) para uma subscrição diferente ou mover a subscrição proprietária do cluster para um novo inquilino faz com que o cluster perca a funcionalidade devido à perda de atribuições de funções e direitos do principal de serviço. Para obter mais informações sobre o AKS, veja Azure Kubernetes Service (AKS).

Pré-requisitos

Antes de associar ou adicionar sua assinatura, execute as seguintes etapas:

  • Veja a seguinte lista de alterações que ocorrerão depois de associar ou adicionar a subscrição e como poderá ser afetado:

    • Os utilizadores aos quais foram atribuídas funções com o RBAC do Azure perderão o acesso.
    • O Administrador de Serviços e os Coadministradores perderão o acesso.
    • Se tiver cofres de chave, estes ficarão inacessíveis e terá de os corrigir após a associação.
    • Se tiver identidades geridas para os recursos, como Máquinas Virtuais ou Logic Apps, terá de reativá-las ou recriá-las após a associação.
    • Se tiver um Azure Stack registado, terá de voltar a registá-lo após a associação.

    Para obter mais informações, veja Transferir uma subscrição do Azure para outro diretório do Microsoft Entra.

  • Inicie sessão com uma conta que:

    • Tenha uma atribuição de função Proprietário para a subscrição. Para obter informações sobre como atribuir a função de proprietário, consulte Atribuir funções do Azure usando o portal do Azure.
    • Existe no diretório atual e no novo diretório. O diretório atual está associado à subscrição. Deverá associar o novo diretório à subscrição. Para obter mais informações sobre como obter acesso a outro diretório, consulte Adicionar usuários de colaboração B2B do Microsoft Entra no portal do Azure.
    • Confirme que não está a utilizar uma subscrição de Fornecedores de Serviços Cloud (CSP) (MS-AZR-0145P, MS-AZR-0146P, MS-AZR-159P), uma subscrição Interna da Microsoft (MS-AZR-0015P) ou uma subscrição do Microsoft Azure for Students Starter (MS-AZR-0144P).

Associar uma assinatura a um diretório

Para associar uma subscrição existente à sua ID do Microsoft Entra, siga estes passos:

  1. Assine no portal do Azure com a atribuição de função Proprietário para a assinatura.

  2. Navegue até Assinaturas.

  3. Selecione o nome da subscrição que pretende utilizar.

  4. Selecione Alterar diretório.

    Captura de ecrã que mostra a página Subscrições, com a opção Alterar diretório realçada.

  5. Veja os avisos que aparecem e, em seguida, selecione Alterar.

    Captura de tela que mostra a página Alterar o diretório com um diretório de exemplo e o botão Alterar realçado.

    Assim que o diretório for alterado para a subscrição, receberá uma mensagem de êxito.

  6. Selecione Trocar diretórios na página da subscrição para aceder ao novo diretório.

    Captura de tela que mostra a página do seletor de diretório com informações de exemplo.

    Pode demorar várias horas para que tudo apareça corretamente. Se parecer que está a demorar demasiado tempo, verifique o filtro Subscrição global. Verifique se a subscrição movida não está ocultada. Poderá ter de terminar sessão no portal do Azure e voltar a iniciar sessão para ver o novo diretório.

    A alteração do diretório da subscrição é uma operação ao nível do serviço, pelo que não afeta a propriedade de faturação da subscrição. Para eliminar o diretório original, tem de transferir a propriedade da faturação da subscrição para um novo Administrador de Conta. Para saber mais sobre a transferência da propriedade de faturação, veja Transferir a propriedade de uma subscrição do Azure para outra conta.

Etapas pós-associação

Depois de associar uma assinatura a um diretório diferente, talvez seja necessário executar as seguintes tarefas para retomar as operações:

  1. Se tiver cofres de chaves, tem de alterar o ID de inquilino do cofre de chaves. Para obter mais informações, consulte Alterar um ID de locatário do cofre de chaves após uma mudança de assinatura.

  2. Se você usou Identidades Gerenciadas atribuídas pelo sistema para recursos, deverá reativar essas identidades. Se você usou Identidades Gerenciadas atribuídas pelo usuário, deverá recriar essas identidades. Depois de reativar ou recriar as Identidades Gerenciadas, você deve restabelecer as permissões atribuídas a essas identidades. Para obter mais informações, veja O que são identidades geridas para os recursos do Azure?.

  3. Se você registrou um Azure Stack usando essa assinatura, deverá se registrar novamente. Para obter mais informações, consulte Registrar o Azure Stack Hub com o Azure.

  4. Para obter mais informações, veja Transferir uma subscrição do Azure para outro diretório do Microsoft Entra.