ترحيل موارد الهوية إلى Azure العالمي
هام
منذ أغسطس 2018، لم نقبل عملاء جدد أو ننشر أي ميزات وخدمات جديدة في مواقع Microsoft Cloud Germany الأصلية.
واستنادا إلى التطور في احتياجات العملاء، أطلقنا مؤخرا منطقتين جديدتين لمراكز البيانات في ألمانيا، توفران إقامة بيانات للعملاء، واتصالا كاملا بشبكة مايكروسوفت السحابية العالمية، فضلا عن أسعار تنافسية في السوق.
بالإضافة إلى ذلك ، في 30 سبتمبر 2020 ، أعلنا أن Microsoft Cloud Germany سيغلق في 29 أكتوبر 2021. مزيد من التفاصيل متوفرة هنا: https://www.microsoft.com/cloud-platform/germany-cloud-regions.
استفد من اتساع نطاق الوظائف والأمان على مستوى المؤسسات والميزات الشاملة المتوفرة في مناطق مراكز البيانات الألمانية الجديدة من خلال الترحيل اليوم.
تحتوي هذه المقالة على معلومات يمكن أن تساعدك على ترحيل موارد هوية Azure من Azure Germany إلى Azure العالمي.
الإرشادات المتعلقة بالهوية/المستأجرين مخصصة لعملاء Azure فقط. إذا كنت تستخدم مستأجري Azure Active Directory (Azure AD) الشائعين ل Azure و Microsoft 365 (أو منتجات Microsoft الأخرى)، فهناك تعقيدات في ترحيل الهوية ويجب عليك أولا الاتصال بمدير حسابك قبل استخدام إرشادات الترحيل هذه.
Azure Active Directory
Azure AD in Azure Germany منفصل عن Azure AD في Azure العالمي. حاليا، لا يمكنك نقل مستخدمي Azure AD من Azure Germany إلى Azure العالمي.
تختلف دائما أسماء المستأجرين الافتراضية في Azure Germany وAzure العالمية لأن Azure يقوم تلقائيا بإلحاق لاحقة استنادا إلى البيئة. على سبيل المثال، اسم مستخدم لأحد أعضاء مستأجر contoso في Azure العمومي هو user1@contoso.microsoftazure.com. في Azure ألمانيا ، إنه user1@contoso.microsoftazure.de.
عند استخدام أسماء مجالات مخصصة (مثل contoso.com) في Azure AD، يجب عليك تسجيل اسم المجال في Azure. يمكن تعريف أسماء النطاقات المخصصة في بيئة سحابية واحدة فقط في كل مرة. يفشل التحقق من صحة المجال عندما يكون المجال مسجلا بالفعل في أي مثيل من Azure Active Directory. على سبيل المثال، لا يمكن للمستخدم user1@contoso.com الموجود في Azure Germany أن يكون موجودا أيضا في Azure العالمي بنفس الاسم في نفس الوقت. وسيفشل التسجيل contoso.com .
يتطلب الترحيل "الناعم" الذي يكون فيه بعض المستخدمين بالفعل في البيئة الجديدة ولا يزال بعض المستخدمين في البيئة القديمة أسماء تسجيل دخول مختلفة للبيئات السحابية المختلفة.
نحن لا نغطي كل سيناريو ترحيل محتمل في هذه المقالة. تعتمد التوصية، على سبيل المثال، على كيفية إدارة المستخدمين، والخيارات المتاحة لك لاستخدام أسماء مستخدمين مختلفة أو UserPrincipalNames، والتبعيات الأخرى. ولكن، قمنا بتجميع بعض التلميحات لمساعدتك في جرد المستخدمين والمجموعات في بيئتك الحالية.
للحصول على قائمة بجميع cmdlets المتعلقة ب Azure AD، قم بتشغيل:
Get-Help Get-AzureAD*
مستخدمو المخزون
للحصول على نظرة عامة على جميع المستخدمين والمجموعات الموجودة في مثيل Azure AD الخاص بك:
Get-AzureADUser -All $true
لإدراج الحسابات الممكنة فقط، أضف عامل التصفية التالي:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}
لإجراء تفريغ كامل لجميع السمات ، في حالة نسيان شيء ما:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *
لتحديد السمات التي تحتاجها لإعادة إنشاء المستخدمين:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname
لتصدير القائمة إلى Excel، استخدم cmdlet تصدير Csv في نهاية هذه القائمة. قد يبدو التصدير الكامل مثل هذا المثال:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8
ملاحظة
لا يمكنك ترحيل كلمات المرور. بدلا من ذلك، يجب تعيين كلمات مرور جديدة أو استخدام آلية خدمة ذاتية، وفقا للسيناريو الخاص بك.
أيضا، استنادا إلى بيئتك، قد تحتاج إلى جمع معلومات أخرى، على سبيل المثال، قيم الإضافات أو التقرير المباشر أو LicenseDetail.
قم بتنسيق ملف CSV حسب الحاجة. بعد ذلك، اتبع الخطوات الموضحة في استيراد البيانات من CSV لإعادة إنشاء المستخدمين في بيئتك الجديدة.
مجموعات المخزون
لتوثيق عضوية المجموعة:
Get-AzureADGroup
للحصول على قائمة الأعضاء لكل مجموعة:
Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}
مبادئ خدمة المخزون وتطبيقاتها
على الرغم من أنه يجب عليك إعادة إنشاء جميع مديري الخدمات وتطبيقاتها، إلا أنه من الممارسات الجيدة توثيق حالة مديري الخدمات والتطبيقات. يمكنك استخدام cmdlets التالية للحصول على قائمة شاملة بجميع مديري الخدمات:
Get-AzureADServicePrincipal |Format-List *
Get-AzureADApplication |Format-List *
يمكنك الحصول على مزيد من المعلومات باستخدام cmdlets الأخرى التي تبدأ ب Get-AzureADServicePrincipal* أو Get-AzureADApplication*.
أدوار دليل المخزون
لتوثيق تعيين الدور الحالي:
Get-AzureADDirectoryRole
تجول في كل دور للعثور على المستخدمين أو التطبيقات المقترنة بالدور:
Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}
لمزيد من المعلومات:
- تعرف على حلول الهوية المختلطة.
- اقرأ منشور المدونة استخدم Azure AD الاتصال مع سحابات متعددة للتعرف على الطرق التي يمكنك من خلالها المزامنة مع بيئات سحابية مختلفة.
- تعرف على المزيد حول Azure Active Directory.
- اقرأ عن أسماء النطاقات المخصصة.
- تعرف على كيفية استيراد البيانات من CSV إلى Azure AD.
Azure AD Connect
Azure AD الاتصال هي أداة تقوم بمزامنة بيانات الهوية الخاصة بك بين مثيل Active Directory محلي وAzure Active Directory (Azure AD). يعمل الإصدار الحالي من Azure AD الاتصال مع كل من Azure Germany وAzure العالمي. يمكن مزامنة Azure AD الاتصال مع مثيل Azure AD واحد فقط في المرة الواحدة. إذا كنت ترغب في المزامنة مع Azure Germany وAzure العالمي في نفس الوقت، فضع في اعتبارك الخيارات التالية:
- استخدم خادما إضافيا لمثيل ثان من Azure AD الاتصال. لا يمكن أن يكون لديك مثيلات متعددة من Azure AD الاتصال على نفس الخادم.
- حدد اسم تسجيل دخول جديد للمستخدمين. يجب أن يكون جزء المجال (بعد @) من اسم تسجيل الدخول مختلفا في كل بيئة.
- حدد "مصدر الحقيقة" الواضح عند المزامنة أيضا للخلف (من Azure AD إلى Active Directory محلي).
إذا كنت تستخدم بالفعل Azure AD الاتصال للمزامنة من Azure Germany وإليه، فتأكد من ترحيل أي مستخدمين تم إنشاؤهم يدويا. يسرد cmdlet PowerShell التالي كافة المستخدمين الذين لم تتم مزامنتهم باستخدام Azure AD الاتصال:
Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}
لمزيد من المعلومات:
- تعرف على المزيد حول Azure AD الاتصال.
Multi-Factor Authentication
يجب إعادة إنشاء المستخدمين وإعادة تعريف مثيل المصادقة متعددة العوامل في Azure AD في بيئتك الجديدة.
للحصول على قائمة بحسابات المستخدمين التي يتم تمكين المصادقة متعددة العوامل لها أو فرضها:
- سجّل الدخول إلى مدخل Azure.
- حدد المستخدمونجميع>المستخدمينالمصادقة>متعددة العوامل.
- عند إعادة توجيهك إلى صفحة خدمة المصادقة متعددة العوامل، قم بتعيين الفلاتر المناسبة للحصول على قائمة بالمستخدمين.
لمزيد من المعلومات:
- تعرف على المزيد حول مصادقة Azure AD متعددة العوامل.
الخطوات التالية
تعرف على الأدوات والتقنيات والتوصيات الخاصة بترحيل الموارد في فئات الخدمات التالية: