すべての Azure サブスクリプションには、Microsoft Entra テナントとの信頼関係があります。 サブスクリプションは、セキュリティ プリンシパルとデバイスの認証と承認を行うために、このテナント (ディレクトリ) に依存します。 サブスクリプションの有効期限が切れると、信頼されたインスタンスは残りますが、セキュリティ プリンシパルは Azure リソースへのアクセスを失います。 サブスクリプションは 1 つのディレクトリのみを信頼できますが、1 つの Microsoft Entra テナントは複数のサブスクリプションで信頼できます。
既定では、Microsoft Entra テナントを作成するユーザーには、 グローバル管理者 ロールが自動的に割り当てられます。 ただし、サブスクリプションの所有者がサブスクリプションを既存のテナントに参加させる場合、所有者はグローバル管理者ロールに割り当てられません。
ユーザーは認証 ホーム ディレクトリを 1 つだけ持つことができますが、ユーザーは複数のディレクトリにゲストとして参加できます。 Microsoft Entra ID では、各ユーザーのホーム ディレクトリとゲスト ディレクトリの両方を確認できます。
Important
サブスクリプションが別のディレクトリに関連付けられている場合、 Azure ロールベースのアクセス制御 を使用してロールが割り当てられているユーザーはアクセスできなくなります。 サービス管理者や共同管理者を含む従来のサブスクリプション管理者もアクセスできなくなります。
Azure Kubernetes Service (AKS) クラスターを別のサブスクリプションに移動するか、クラスター所有サブスクリプションを新しいテナントに移動すると、ロールの割り当てとサービス プリンシパルの権限が失われたため、クラスターの機能が失われます。 AKS の詳細については、 Azure Kubernetes Service (AKS) に関するページを参照してください。
[前提条件]
サブスクリプションを関連付けるか追加する前に、次の手順を実行します。
サブスクリプションの関連付けまたは追加後に発生する次の変更の一覧と、影響を受ける可能性がある変更の一覧を確認します。
- Azure RBAC を使用してロールを割り当てられたユーザーは、アクセス権を失います。
- サービス管理者と Co-Administrators はアクセスできなくなります。
- キー コンテナーがある場合はアクセスできなくなります。関連付け後に修正する必要があります。
- Virtual Machines や Logic Apps などのリソースのマネージド ID がある場合は、関連付け後に再度有効にするか再作成する必要があります。
- Azure Stack が登録されている場合は、関連付け後に再登録する必要があります。
詳細については、「 Azure サブスクリプションを別の Microsoft Entra ディレクトリに転送する」を参照してください。
次のアカウントを使用してサインインします。
- サブスクリプションの 所有者 ロールの割り当てがあります。 所有者ロールを割り当てる方法については、「 Azure portal を使用して Azure ロールを割り当てる」を参照してください。
- 現在のディレクトリと新しいディレクトリの両方に存在します。 現在のディレクトリはサブスクリプションに関連付けられています。 新しいディレクトリをサブスクリプションに関連付けます。 別のディレクトリへのアクセスの詳細については、 Azure portal での Microsoft Entra B2B コラボレーション ユーザーの追加に関するページを参照してください。
- Azure クラウド サービス プロバイダー (CSP) サブスクリプション (MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft Internal サブスクリプション (MS-AZR-0015P)、または Microsoft Azure for Students Starter サブスクリプション (MS-AZR-0144P) を使用していないことを確認します。
サブスクリプションをディレクトリに関連付ける
既存のサブスクリプションを Microsoft Entra ID に関連付けるには、次の手順に従います。
サブスクリプションの所有者ロールの割り当てを使用して Azure portal にサインインします。
[サブスクリプション] を参照します。
使用するサブスクリプションの名前を選択します。
[ ディレクトリの変更] を選択します。
![[ディレクトリの変更] オプションが強調表示されている [サブスクリプション] ページを示すスクリーンショット。](media/how-subscriptions-associated-directory/change-directory-in-azure-subscriptions.png)
- 表示される警告を確認し、[ 変更] を選択します。
![サンプル ディレクトリと [変更] ボタンが強調表示された [ディレクトリの変更] ページを示すスクリーンショット。](media/how-subscriptions-associated-directory/edit-directory-ui.png)
サブスクリプションのディレクトリが変更されると、成功メッセージが表示されます。
- サブスクリプション ページで [ ディレクトリの切り替え ] を選択して、新しいディレクトリに移動します。
![サンプル情報を含む [ディレクトリ スイッチャー] ページを示すスクリーンショット。](media/how-subscriptions-associated-directory/directory-switcher.png)
すべてが正しく表示されるまでに数時間かかることがあります。 時間がかかりすぎる場合は、 グローバル サブスクリプション フィルターを確認してください。 移動したサブスクリプションが非表示になっていないことを確認します。 新しいディレクトリを表示するには、Azure portal からサインアウトし、もう一度サインインする必要がある場合があります。
サブスクリプション ディレクトリの変更はサービス レベルの操作であるため、サブスクリプションの課金所有権には影響しません。 元のディレクトリを削除するには、サブスクリプションの課金所有権を新しいアカウント管理者に譲渡する必要があります。課金所有権の譲渡の詳細については、「 Azure サブスクリプションの所有権を別のアカウントに譲渡する」を参照してください。
関連付け後の手順
サブスクリプションを別のディレクトリに関連付けた後、操作を再開するには、次のタスクを実行する必要がある場合があります。
キー コンテナーがある場合は、キー コンテナーのテナント ID を変更する必要があります。 詳細については、「 サブスクリプションの移動後にキー コンテナーテナント ID を変更する」を参照してください。
リソースにシステム割り当てマネージド ID を使用した場合は、これらの ID を再度有効にする必要があります。 ユーザー割り当てマネージド ID を使用した場合は、これらの ID を再作成する必要があります。 マネージド ID を再度有効にするか再作成した後、それらの ID に割り当てられたアクセス許可を再確立する必要があります。 詳細については、「 Azure リソースのマネージド ID とは」を参照してください。
このサブスクリプションを使用して Azure Stack を登録した場合は、再登録する必要があります。 詳細については、「 Azure Stack Hub を Azure に登録する」を参照してください。
詳細については、「 Azure サブスクリプションを別の Microsoft Entra ディレクトリに転送する」を参照してください。