Microsoft Entra テナントに Azure サブスクリプションを関連付ける、または追加する

Azure サブスクリプションは、Microsoft Entra テナント との間に信頼関係があります。 サブスクリプションはこのテナント (ディレクトリ) に依存して、セキュリティ プリンシパルとデバイスの認証と承認を行います。 サブスクリプションの有効期限が切れると、信頼されたインスタンスは残りますが、セキュリティ プリンシパルでは、Azure リソースへのアクセスが失われます。 サブスクリプションは 1 つのディレクトリのみを信頼できます (関連付けられる) が、1 つの Microsoft Entra テナントは複数のサブスクリプションから信頼されることができます。

ユーザーが Microsoft のクラウド サービスに新規登録すると、新しい Microsoft Entra テナントが作成され、そのユーザーがグローバル管理者となります。 ただし、サブスクリプションの所有者が自分のサブスクリプションを既存のテナントに参加させるとき、その所有者は全体管理者ロールに割り当てられません。

ユーザーは認証 "ホーム" ディレクトリを 1 つだけ持つことができますが、ユーザーは複数のディレクトリにゲストとして参加できます。 Microsoft Entra ID では、各ユーザーのホーム ディレクトリとゲスト ディレクトリの両方を確認できます。

Screenshot that shows the trust relationship between Azure subscriptions and Microsoft Entra directories.

重要

サブスクリプションが別のディレクトリに関連付けられると、Azure ロールベースのアクセス制御を使用してロールが割り当てられているユーザーはアクセス権を失います。 サービス管理者や共同管理者などの従来のサブスクリプション管理者もアクセスできなくなります。

Azure Kubernetes Service (AKS) クラスターを別のサブスクリプションに移したり、クラスターを所有するサブスクリプションを新しいテナントに移したりすると、ロールの割り当てやサービス プリンシパルの権限が失われるため、クラスターの機能が失われることになります。 AKS の詳細については、「Azure Kubernetes Service (AKS)」を参照してください。

開始する前に

サブスクリプションの関連付けまたは追加を行う前に、次の手順を実行してください。

  • サブスクリプションを関連付けたり追加したりした後に行われる変更の一覧と、その影響を確認してください。

    • Azure RBAC を使用してロールが割り当てられているユーザーはアクセスできなくなります。
    • サービス管理者と共同管理者はアクセスできなくなります。
    • キー コンテナーがある場合はアクセスできなくなり、関連付けを行った後にそれらを修正する必要があります。
    • 仮想マシンやロジック アプリなどのリソースのマネージド ID を持っている場合は、関連付け後にそれらを再度有効にするか再作成する必要があります。
    • 登録されている Azure Stack がある場合は、関連付けを行った後に再登録が必要になります。

    詳細については、Azure サブスクリプションを別の Microsoft Entra ディレクトリに移転するに関するページを参照してください。

  • 次のようなアカウントを使用してサインインします。

    • サブスクリプションの所有者ロールが割り当てられているアカウント。 所有者ロールの割り当て方法について詳しくは、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。
    • 現在のディレクトリと新しいディレクトリの両方に存在する。 現在のディレクトリはサブスクリプションに関連付けられています。 新しいディレクトリをそのサブスクリプションに関連付けます。 別のディレクトリへのアクセスの取得に関する詳細は、「Azure portal で Microsoft Entra B2B コラボレーション ユーザーを追加する」を参照してください。
    • Azure クラウド サービス プロバイダー (CSP) サブスクリプション (MS-AZR-0145P、MS-AZR-0146P、MS-AZR-159P)、Microsoft 内部サブスクリプション (MS-AZR-0015P)、または Microsoft Azure for Students Starter サブスクリプション (MS-AZR-0144P) を使用していないことを確認します。

サブスクリプションをディレクトリに関連付ける

既存のサブスクリプションを Microsoft Entra ID に関連付けるには、次の手順を実行します。

  1. サブスクリプションの所有者ロールの割り当てを使用して、Azure portal にサインインします。

  2. サブスクリプション を参照します。

  3. 使用するサブスクリプションの名前を選択します。

  4. [ディレクトリの変更] を選択します。

    Screenshot that shows the Subscriptions page, with the Change directory option highlighted.

  5. 表示されたすべての警告を確認してから、 [変更] を選択します。

    Screenshot that shows the Change the directory page with a sample directory and the Change button highlighted.

    サブスクリプションのディレクトリが変更されると、成功メッセージが表示されます。

  6. [サブスクリプション] ページで [ディレクトリの切り替え] を選択し、新しいディレクトリに移動します。

    Screenshot that shows the Directory switcher page with sample information.

    すべてが適切に表示されるまでに数時間かかる場合があります。 時間がかかりすぎていると思われる場合は、 [グローバルなサブスクリプション フィルター] を確認します。 移動したサブスクリプションが非表示になっていないことを確認します。 一度 Azure portal からサインアウトしてから再びサインインしないと、新しいディレクトリが表示されない場合があります。

サブスクリプションのディレクトリの変更はサービス レベルの操作であるため、サブスクリプションの課金所有権には影響しません。 元のディレクトリを削除するには、新しいアカウント管理者にサブスクリプションの課金所有権を譲渡する必要があります。課金所有権を別のアカウントに譲渡するには、「Azure サブスクリプションの所有権を別のアカウントに譲渡する」を参照してください。

関連付け後の手順

サブスクリプションを別のディレクトリに関連付けた後、次のタスクを実行しないと操作が再開されない場合があります。

次のステップ