Viz Převod předplatného Azure do jiného adresáře Microsoft Entra.
Článek
Organizace můžou mít několik předplatných Azure. Každé předplatné je přidružené ke konkrétnímu adresáři Microsoft Entra. Za účelem zjednodušení správy můžete chtít nějaké předplatné převést do jiného adresáře Microsoft Entra. Při přenosu předplatného do jiného adresáře Microsoft Entra se některé prostředky nepřenesou do cílového adresáře. Například všechna přiřazení rolí a vlastní role v řízení přístupu na základě role v Azure (Azure RBAC) se trvale odstraní ze zdrojového adresáře a nepřenesou se do cílového adresáře.
Tento článek popisuje základní kroky, podle kterých můžete převést předplatné do jiného adresáře Microsoft Entra a po převodu znovu vytvořit některé prostředky.
Poznámka
Předplatná programu Azure Cloud Solution Provider (CSP) nepodporují změnu adresáře Microsoft Entra.
Přehled
Převod předplatného Azure do jiného adresáře Microsoft Entra je složitý proces, který je potřeba pečlivě naplánovat a provést. Řada služeb Azure k normálnímu fungování nebo ke správě dalších prostředků Azure vyžaduje objekty zabezpečení (identity). Tento článek se snaží pokrýt většinu služeb Azure, které jsou silně závislé na objektech zabezpečení, ale nejsou komplexní.
Důležité
V některých scénářích může při převodu předplatného dojít k výpadku. Aby bylo možné posoudit, jestli při převodu dojde k výpadku, je potřeba převod pečlivě naplánovat.
Následující diagram znázorňuje základní kroky, které musíte provést při převodu předplatného do jiného adresáře.
Příprava na převod
Převod předplatného Azure do jiného adresáře
Opětovné vytvoření prostředků, jako jsou přiřazení rolí, vlastní role a spravované identity, v cílovém adresáři
Rozhodnutí o převodu předplatného do jiného adresáře
Tady je několik důvodů, proč můžete chtít předplatné převést:
Kvůli fúzi nebo akvizici společnosti chcete spravovat získané předplatné v primárním adresáři Microsoft Entra.
Někdo ve vaší organizaci vytvořil předplatné a vy chcete konsolidovat správu do konkrétního adresáře Microsoft Entra.
Máte aplikace, které závisí na konkrétním ID nebo adrese URL předplatného, a není snadné upravit konfiguraci nebo kód aplikace.
Část vaší firmy je rozdělená do samostatné společnosti a některé prostředky potřebujete přesunout do jiného adresáře Microsoft Entra.
Chcete spravovat některé prostředky v jiném adresáři Microsoft Entra za účely izolace zabezpečení.
Alternativní přístupy
Převod předplatného vyžaduje pro dokončení procesu výpadek. V závislosti na vašem scénáři můžete zvážit následující alternativní přístupy:
Znovu vytvořte prostředky a zkopírujte data do cílového adresáře a předplatného.
Přijměte architekturu s více adresáři a ponechte předplatné ve zdrojovém adresáři. Pomocí Azure Lighthouse delegujte prostředky tak, aby uživatelé v cílovém adresáři mohli přistupovat k předplatnému ve zdrojovém adresáři. Další informace najdete v tématu Azure Lighthouse v podnikových scénářích.
Blokování přenosů předplatného
V závislosti na vaší organizaci můžete chtít zablokovat přenos předplatných do různých adresářů ve vaší organizaci. Pokud chcete místo toho blokovat přenos předplatných, můžete nakonfigurovat zásady předplatného. Další informace najdete v tématu Správa zásad předplatného Azure.
Pochopení dopadu převodu předplatného
Několik prostředků Azure je závislé na předplatném nebo adresáři. V závislosti na vaší situaci uvádí následující tabulka známý dopad převodu předplatného. Provedením kroků v tomto článku můžete znovu vytvořit některé prostředky, které existovaly před převodem předplatného.
Důležité
Tato část obsahuje seznam známých služeb nebo prostředků Azure, které závisí na vašem předplatném. Vzhledem k tomu, že se typy prostředků v Azure neustále vyvíjejí, můžou se zde vyskytovat další závislosti, které můžou způsobit zásadní změnu vašeho prostředí.
Všechna přiřazení rolí se trvale odstraní. Uživatele, skupiny a instanční objekty musíte mapovat na odpovídající objekty v cílovém adresáři. Musíte znovu vytvořit přiřazení rolí.
Databázi Azure SQL s povoleným ověřováním Microsoft Entra nemůžete přenést do jiného adresáře. Další informace najdete v části věnované používání ověřování Microsoft Entra.
Azure Database for MySQL s povolenou integrací ověřování Microsoft Entra
Yes
No
Službu Azure Database for MySQL (jednoúčelový a flexibilní server) s povoleným ověřováním Microsoft Entra nemůžete přenést do jiného adresáře.
Flexibilní server Azure Database for PostgreSQL s povolenou integrací ověřování Microsoft Entra nebo s povoleným klíčem spravovaným zákazníkem
Yes
No
Službu Azure Database for PostgreSQL s ověřováním Microsoft Entra nebo klíčem spravovaným zákazníkem nemůžete přenést do jiného adresáře. Tyto funkce musíte nejprve zakázat, převést server a pak tyto funkce znovu povolit.
Azure Storage a Azure Data Lake Storage Gen2
Ano
Yes
Musíte znovu vytvořit všechny seznamy ACL.
Soubory Azure
Ano
Ve většině scénářů
Musíte znovu vytvořit všechny seznamy ACL. U účtů úložiště s povoleným ověřováním Microsoft Entra Kerberos je nutné po přenosu zakázat a znovu povolit ověřování protokolem Microsoft Entra Kerberos. V případě služby Microsoft Entra Domain Services není podporován přenos do jiného adresáře Microsoft Entra Domain Services, kde není povolená služba Microsoft Entra Domain Services.
Pokud k šifrování Spravované disky pomocí klíčů spravovaných zákazníkem používáte sady šifrování disků, musíte zakázat a znovu povolit identity přiřazené systémem přidružené k sadám šifrování disků. A musíte znovu vytvořit přiřazení rolí, abyste znovu udělili požadovaná oprávnění k sadám šifrování disků ve službě Key Vault.
Vývojové pole a jeho přidružené prostředky nemůžete přenést do jiného adresáře. Jakmile se předplatné přesune do jiného tenanta, nebudete moct s vývojovým polem provádět žádné akce.
Prostředí nasazení Azure
Yes
No
Nemůžete přenést prostředí a jeho přidružené prostředky do jiného adresáře. Jakmile se předplatné přesune do jiného tenanta, nebudete moct ve svém prostředí provádět žádné akce.
Azure Databricks v současné době nepodporuje přesun pracovních prostorů do nového tenanta. Další informace najdete v tématu Správa účtu Azure Databricks.
Zámky prostředků Azure exportujte ručně pomocí webu Azure Portal nebo Azure CLI.
Upozornění
Pokud používáte šifrování neaktivních uložených uložených dat pro prostředek, například účet úložiště nebo databázi SQL, který je závislý na přenášeném trezoru klíčů, může to vést k neopravitelnému scénáři. Pokud máte tuto situaci, měli byste podniknout kroky pro použití jiného trezoru klíčů nebo dočasně zakázat klíče spravované zákazníkem, abyste se vyhnuli tomuto neopravitelnému scénáři.
Rozšíření Azure CLI pro Azure Resource Graph, resource-graph, umožňuje použít příkaz az graph k dotazování prostředků spravovaných Azure Resource Managerem. Tento příkaz použijete v dalších krocích.
az role assignment list --all--include-inherited--output json > roleassignments.json
az role assignment list --all--include-inherited--output tsv > roleassignments.tsv
az role assignment list --all--include-inherited--output table > roleassignments.txt
Uložte seznam přiřazení rolí.
Při převodu předplatného se všechna přiřazení rolí trvale odstraní, takže je důležité uložit kopii.
Zkontrolujte seznam přiřazení rolí. V cílovém adresáři možná nebudete potřebovat přiřazení rolí.
Určení mapování uživatelů, skupin a instančních objektů
Na základě vašeho seznamu přiřazení rolí určete uživatele, skupiny a instanční objekty, na které budete mapovat v cílovém adresáři.
Typ objektu zabezpečení můžete identifikovat tak, že se podíváte na principalType vlastnost v každém přiřazení role.
V případě potřeby vytvořte v cílovém adresáři všechny uživatele, skupiny nebo instanční objekty, které budete potřebovat.
Výpis přiřazení rolí pro spravované identity
Spravované identity se neaktualizují, když se předplatné přenese do jiného adresáře. Proto všechny stávající spravované identity přiřazené systémem nebo uživatelem přestanou fungovat. Po převodu můžete znovu povolit všechny spravované identity přiřazené systémem. U spravovaných identit přiřazených uživatelem budete muset znovu vytvořit a připojit je v cílovém adresáři.
Pomocí příkazu az ad sp list vypíšete spravované identity přiřazené systémem a přiřazené uživatelem.
Azure CLI
az ad sp list --all--filter"servicePrincipalType eq 'ManagedIdentity'"
V seznamu spravovaných identit určete, které jsou přiřazené systémem a které jsou přiřazené uživatelem. K určení typu můžete použít následující kritéria.
Kritéria
Typ spravované identity
alternativeNames vlastnost zahrnuje isExplicit=False
Přiřazeno systémem
alternativeNames vlastnost nezahrnuje isExplicit
Přiřazeno systémem
alternativeNames vlastnost zahrnuje isExplicit=True
Získejte seznam objectId hodnot pro spravované identity.
Vyhledejte seznam přiřazení rolí a zjistěte, jestli pro spravované identity existují nějaká přiřazení rolí.
Výpis trezorů klíčů
Když vytvoříte trezor klíčů, automaticky se sváže s výchozím ID tenanta Microsoft Entra pro předplatné, ve kterém se vytvoří. Zároveň jsou k tomuto ID tenanta vázány i všechny položky zásad přístupu. Další informace najdete v tématu Přesun služby Azure Key Vault do jiného předplatného.
Upozornění
Pokud používáte šifrování neaktivních uložených uložených dat pro prostředek, jako je účet úložiště nebo databáze SQL, který má závislost na přeneseném trezoru klíčů, může to vést k neopravitelnému scénáři. Pokud máte tuto situaci, měli byste podniknout kroky pro použití jiného trezoru klíčů nebo dočasně zakázat klíče spravované zákazníkem, abyste se vyhnuli tomuto neopravitelnému scénáři.
Pokud máte trezor klíčů, pomocí příkazu az keyvault show zobrazte seznam zásad přístupu. Další informace najdete v tématu Přiřazení zásad přístupu ke službě Key Vault.
Azure CLI
az keyvault show --name MyKeyVault
Výpis databází Azure SQL s ověřováním Microsoft Entra
subscriptionId=$(az account show --output tsv --query id)
Pomocí rozšíření az graph můžete vypsat další prostředky Azure se známými závislostmi adresáře Microsoft Entra (vbash).
Azure CLI
az graph query -q'resources
| where type != "microsoft.azureactivedirectory/b2cdirectories"
| where identity <> "" or properties.tenantId <> "" or properties.encryptionSettingsCollection.enabled == true
| project name, type, kind, identity, tenantId, properties.tenantId'--subscriptions$subscriptionId--output yaml
Krok 2: Převod předplatného
V tomto kroku přenesete předplatné ze zdrojového adresáře do cílového adresáře. Postup se bude lišit v závislosti na tom, jestli chcete převést vlastnictví fakturace.
Upozornění
Při přenosu předplatného se všechna přiřazení rolí ve zdrojovém adresáři trvale odstraní a nelze je obnovit. Převedené předplatné nejde vrátit zpět. Před tímto krokem nezapomeňte dokončit předchozí kroky.
Rozhodněte se, jestli chcete do jiného účtu převést i vlastnictví fakturace.
Pokud chcete převést i vlastnictví fakturace, použijte postup v tématu Převod vlastnictví fakturace předplatného Azure na jiný účet. Pokud chcete předplatné převést do jiného adresáře, musíte zaškrtnout políčko Tenant Microsoft Entra předplatného.
Jakmile dokončíte převod předplatného, vraťte se k tomuto článku a znovu vytvořte prostředky v cílovém adresáři.
Krok 3: Opětovné vytvoření prostředků
Přihlášení k cílovému adresáři
V cílovém adresáři se přihlaste jako uživatel, který přijal žádost o převod.
Ke správě prostředků má přístup pouze uživatel v novém účtu, který žádost o převod přijal.
Pokud používáte Azure Files, přiřaďte příslušné seznamy ACL.
Kontrola dalších metod zabezpečení
I když se přiřazení rolí během přenosu odeberou, uživatelé v původním účtu vlastníka můžou mít k předplatnému nadále přístup prostřednictvím jiných metod zabezpečení, včetně:
Přístupové klíče pro služby, jako je Storage.
Certifikáty pro správu, které správci uživatele udělí přístup k prostředkům předplatného.
Oprávnění pro vzdálený přístup ke službám, jako je Azure Virtual Machines.
Pokud vaším záměrem je odebrat přístup uživatelům ve zdrojovém adresáři, aby neměli přístup k cílovému adresáři, měli byste zvážit obměně všech přihlašovacích údajů. Dokud se přihlašovací údaje neaktualizují, budou mít uživatelé po převodu i nadále přístup.
Obměňte přístupové klíče účtu úložiště. Další informace najdete v tématu Správa přístupových klíčů účtu úložiště.
Pokud používáte přístupové klíče pro jiné služby, jako je Azure SQL Database nebo zasílání zpráv služby Azure Service Bus, obměňte přístupové klíče.
V případě prostředků, které používají tajné kódy, otevřete nastavení prostředku a aktualizujte tajný klíč.
V případě prostředků, které používají certifikáty, aktualizujte certifikát.
Prozkoumejte, jak pomocí předdefinovaných rolí Azure, spravovaných identit a zásad RBAC řídit přístup k prostředkům Azure. Identita je klíčem k zabezpečení řešení.
Tento článek vám pomůže porozumět požadavkům a podpoře převodu plánů úspor, rezervací a předplatného Azure. Tento článek obsahuje také odkazy na další články, kde najdete podrobnější informace.