Školení
Certifikace
Microsoft Certified: Přidružení správce identit a přístupu - Certifications
Předveďte funkce Microsoft Entra ID pro modernizaci řešení identit, implementaci hybridních řešení a implementaci zásad správného řízení identit.
Tento prohlížeč se už nepodporuje.
Upgradujte na Microsoft Edge, abyste mohli využívat nejnovější funkce, aktualizace zabezpečení a technickou podporu.
Poznámka
Při práci s Azure doporučujeme používat modul Azure Az PowerShellu. Pokud chcete začít, přečtěte si téma Instalace Azure PowerShellu. Informace o tom, jak migrovat na modul Az PowerShell, najdete v tématu Migrace Azure PowerShellu z AzureRM na Az.
Důležité
Přesunutí trezoru klíčů do jiného předplatného způsobí zásadní změnu vašeho prostředí. Než se rozhodnete přesunout trezor klíčů do nového předplatného, ujistěte se, že rozumíte dopadu této změny, a pečlivě postupujte podle pokynů v tomto článku. Pokud používáte identity spravované služby (MSI), přečtěte si pokyny k následnému přesunutí na konci dokumentu.
Azure Key Vault je automaticky svázaný s výchozím ID tenanta Microsoft Entra ID pro předplatné, ve kterém se vytvoří. ID tenanta přidruženého k vašemu předplatnému najdete podle tohoto průvodce. Všechny položky zásad přístupu a přiřazení rolí jsou také svázané s tímto ID tenanta. Pokud přesunete předplatné Azure z tenanta A na tenanta B, stávající trezory klíčů budou pro objekty služby (uživatelé a aplikace) v tenantovi B nepřístupné. Oprava tohoto problému vyžaduje následující postup:
Poznámka
Pokud je služba Key Vault vytvořená prostřednictvím služby Azure Lighthouse, je místo toho svázaná se správou ID tenanta. Azure Lighthouse je podporován pouze modelem oprávnění zásad přístupu trezoru. Další informace o tenantech ve službě Azure Lighthouse najdete v tématu Tenanti, uživatelé a role ve službě Azure Lighthouse.
Další informace o službě Azure Key Vault a MICROSOFT Entra ID najdete v tématu
Důležité
Trezory klíčů používané pro šifrování disků nelze přesunout , pokud používáte trezor klíčů s šifrováním disků pro virtuální počítač, trezor klíčů nelze přesunout do jiné skupiny prostředků nebo předplatného, pokud je povolené šifrování disku. Před přesunem trezoru klíčů do nové skupiny prostředků nebo předplatného musíte zakázat šifrování disků.
Některé instanční objekty (uživatelé a aplikace) jsou vázané na konkrétního tenanta. Pokud přesunete trezor klíčů do předplatného v jiném tenantovi, je možné, že nebudete moct obnovit přístup ke konkrétnímu instančnímu objektu. Ujistěte se, že v tenantovi, do kterého přesouváte trezor klíčů, existují všechny základní instanční objekty.
Existující role můžete zkontrolovat pomocí webu Azure Portal, PowerShellu, Azure CLI nebo rozhraní REST API.
Pokud jste přesunuli předplatné obsahující trezor klíčů do nového tenanta, musíte ID tenanta aktualizovat ručně a odebrat staré zásady přístupu a přiřazení rolí. Tady jsou kurzy pro tyto kroky v PowerShellu a Azure CLI. Pokud používáte PowerShell, možná budete muset spustit příkaz Clear-AzContext, abyste mohli zobrazit prostředky mimo aktuální vybraný obor.
Select-AzSubscription -SubscriptionId <your-subscriptionId> # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId # Get your key vault's Resource ID
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @() # Access policies can be updated with real
# applications/users/rights so that it does not need to be # done after this whole activity. Here we are not setting
# any access policies.
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties # Modifies the key vault's properties.
Clear-AzContext #Clear the context from PowerShell
Connect-AzAccount #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId> # Select your Azure Subscription
tenantId=$(az account show --query tenantId) # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId # Update the key vault tenantId
Poznámka
Pokud Key Vault používá model oprávnění Azure RBAC . Musíte také odebrat přiřazení rolí trezoru klíčů. Přiřazení rolí můžete odebrat pomocí webu Azure Portal, Azure CLI nebo PowerShellu.
Teď, když je váš trezor přidružený ke správnému ID tenanta a staré položky zásad přístupu nebo přiřazení rolí se odeberou, nastavte nové položky zásad přístupu nebo přiřazení rolí.
Informace o přiřazování zásad najdete tady:
Přidání přiřazení rolí najdete tady:
Pokud převádíte celé předplatné a používáte spravovanou identitu pro prostředky Azure, budete ji muset aktualizovat také na nového tenanta Microsoft Entra. Další informace o spravovaných identitách najdete v přehledu spravované identity.
Pokud používáte spravovanou identitu, budete muset také aktualizovat identitu, protože stará identita už nebude ve správném tenantovi Microsoft Entra. Pokud chcete tento problém vyřešit, podívejte se na následující dokumenty.
Školení
Certifikace
Microsoft Certified: Přidružení správce identit a přístupu - Certifications
Předveďte funkce Microsoft Entra ID pro modernizaci řešení identit, implementaci hybridních řešení a implementaci zásad správného řízení identit.