Freigeben über

Zuordnen oder Hinzufügen eines Azure-Abonnements zu Ihrem Microsoft Entra-Mandanten

Alle Azure-Abonnements verfügen über eine Vertrauensstellung mit einem Microsoft Entra-Mandanten. Abonnements basieren auf diesem Mandanten (Verzeichnis), um Sicherheitsprinzipale und Geräte zu authentifizieren und zu autorisieren. Wenn ein Abonnement abläuft, bleibt die vertrauenswürdige Instanz erhalten, aber die Sicherheitsprinzipale verlieren den Zugriff auf Azure-Ressourcen. Abonnements können nur einem einzelnen Verzeichnis vertrauen, während ein Microsoft Entra-Mandant von mehreren Abonnements als vertrauenswürdig eingestuft wird.

Standardmäßig wird dem Benutzer, der einen Microsoft Entra-Mandanten erstellt, automatisch die Rolle "Globaler Administrator" zugewiesen. Wenn ein Besitzer eines Abonnements jedoch ihrem Abonnement einem vorhandenen Mandanten beitritt, wird der Besitzer nicht der Rolle "Globaler Administrator" zugewiesen.

Während Benutzer nur über ein einzelnes Authentifizierungs-Home-Verzeichnis verfügen, können Benutzer als Gäste in mehreren Verzeichnissen teilnehmen. Sie können sowohl die Heim- als auch die Gastverzeichnisse für jeden Benutzer in der Microsoft Entra-ID anzeigen.

Screenshot der Vertrauensstellung zwischen Azure-Abonnements und Microsoft Entra-Verzeichnissen.

Von Bedeutung

Wenn ein Abonnement einem anderen Verzeichnis zugeordnet ist, verlieren Benutzer, denen Rollen mithilfe der rollenbasierten Azure-Zugriffssteuerung zugewiesen sind, ihren Zugriff. Klassische Abonnementadministratoren, einschließlich Dienstadministrator und Co-Administratoren, verlieren auch den Zugriff.

Wenn Sie Ihren Azure Kubernetes Service (AKS)-Cluster in ein anderes Abonnement verschieben oder das clustereigene Abonnement auf einen neuen Mandanten verschieben, verliert der Cluster die Funktionalität aufgrund verlorener Rollenzuweisungen und der Rechte des Dienstprinzipals. Weitere Informationen zu AKS finden Sie unter Azure Kubernetes Service (AKS).

Voraussetzungen

Führen Sie die folgenden Schritte aus, bevor Sie Ihr Abonnement zuordnen oder hinzufügen können:

  • Überprüfen Sie die folgende Liste der Änderungen, die auftreten, nachdem Sie Ihr Abonnement zugeordnet oder hinzugefügt haben, und wie Sie davon betroffen sein können:

    • Benutzer, denen Azure RBAC zugewiesene Rollen verwenden, verlieren ihren Zugriff.
    • Der Dienstadministrator und Co-Administrators verlieren den Zugriff.
    • Wenn Sie über Schlüsseltresor verfügen, kann auf sie nicht zugegriffen werden, und Sie müssen sie nach der Zuordnung beheben.
    • Wenn Sie über verwaltete Identitäten für Ressourcen wie virtuelle Computer oder Logik-Apps verfügen, müssen Sie sie nach der Zuordnung erneut aktivieren oder neu erstellen.
    • Wenn Sie über einen registrierten Azure Stack verfügen, müssen Sie ihn nach der Zuordnung erneut registrieren.

    Weitere Informationen finden Sie unter Übertragen eines Azure-Abonnements in ein anderes Microsoft Entra-Verzeichnis.

  • Melden Sie sich mit einem Konto an, das:

Zuordnen eines Abonnements zu einem Verzeichnis

Führen Sie die folgenden Schritte aus, um ein vorhandenes Abonnement mit Ihrer Microsoft Entra-ID zu verknüpfen:

  1. Melden Sie sich beim Azure-Portal mit der Rollenzuweisung " Besitzer " für das Abonnement an.

  2. Navigieren Sie zu "Abonnements".

  3. Wählen Sie den Namen des Abonnements aus, das Sie verwenden möchten.

  4. Wählen Sie " Verzeichnis ändern" aus.

Screenshot der Seite

  1. Überprüfen Sie alle angezeigten Warnungen, und wählen Sie dann "Ändern" aus.

Screenshot der Seite

Nachdem das Verzeichnis für das Abonnement geändert wurde, erhalten Sie eine Erfolgsmeldung.

  1. Wählen Sie auf der Abonnementseite " Verzeichnisse wechseln" aus, um zu Ihrem neuen Verzeichnis zu wechseln.

Screenshot der Seite

Es kann mehrere Stunden dauern, bis alles richtig angezeigt wird. Wenn dies zu lange dauert, überprüfen Sie den globalen Abonnementfilter. Stellen Sie sicher, dass das verschobene Abonnement nicht ausgeblendet ist. Möglicherweise müssen Sie sich beim Azure-Portal abmelden und sich wieder anmelden, um das neue Verzeichnis anzuzeigen.

Das Ändern des Abonnementverzeichnisses ist ein Vorgang auf Dienstebene, sodass es sich nicht auf den Besitz der Abonnementabrechnung auswirkt. Um das ursprüngliche Verzeichnis zu löschen, müssen Sie den Besitz der Abonnementabrechnung an einen neuen Kontoadministrator übertragen. Weitere Informationen zum Übertragen des Abrechnungsbesitzes finden Sie unter Übertragen des Besitzes eines Azure-Abonnements auf ein anderes Konto.

Schritte nach der Zuordnung

Nachdem Sie ein Abonnement einem anderen Verzeichnis zugeordnet haben, müssen Sie möglicherweise die folgenden Aufgaben ausführen, um Vorgänge fortzusetzen:

  1. Wenn Sie über Schlüsseltresor verfügen, müssen Sie die Mandanten-ID des Schlüsseltresors ändern. Weitere Informationen finden Sie unter Ändern einer Schlüsseltresormandanten-ID nach einer Abonnementverschiebung.

  2. Wenn Sie vom System zugewiesene verwaltete Identitäten für Ressourcen verwendet haben, müssen Sie diese Identitäten erneut aktivieren. Wenn Sie vom Benutzer zugewiesene verwaltete Identitäten verwendet haben, müssen Sie diese Identitäten erneut erstellen. Nachdem Sie die verwalteten Identitäten erneut aktiviert oder neu erstellen, müssen Sie die Berechtigungen erneut einrichten, die diesen Identitäten zugewiesen sind. Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.

  3. Wenn Sie einen Azure Stack mit diesem Abonnement registriert haben, müssen Sie sich erneut registrieren. Weitere Informationen finden Sie unter Registrieren von Azure Stack Hub mit Azure.

  4. Weitere Informationen finden Sie unter Übertragen eines Azure-Abonnements in ein anderes Microsoft Entra-Verzeichnis.

Verwandte Inhalte