Viz Převod předplatného Azure do jiného adresáře Microsoft Entra.
Organizace můžou mít několik předplatných Azure. Každé předplatné je přidružené ke konkrétnímu adresáři Microsoft Entra. Za účelem zjednodušení správy můžete chtít nějaké předplatné převést do jiného adresáře Microsoft Entra. Při přesunu předplatného do jiného adresáře Microsoft Entra se některé prostředky nepřenesou do cílového adresáře. Například všechna přiřazení rolí a vlastní role v řízení přístupu na základě role v Azure (Azure RBAC) se trvale odstraní ze zdrojového adresáře a nepřenesou se do cílového adresáře.
Tento článek popisuje základní kroky, podle kterých můžete převést předplatné do jiného adresáře Microsoft Entra a po převodu znovu vytvořit některé prostředky.
Pokud chcete místo toho zablokovat přenos předplatných do různých adresářů ve vaší organizaci, můžete nakonfigurovat zásady předplatného. Další informace najdete v tématu Správa zásad předplatného Azure.
Poznámka:
Předplatná programu Azure Cloud Solution Provider (CSP) nepodporují změnu adresáře Microsoft Entra.
Přehled
Převod předplatného Azure do jiného adresáře Microsoft Entra je složitý proces, který je potřeba pečlivě naplánovat a provést. Řada služeb Azure k normálnímu fungování nebo ke správě dalších prostředků Azure vyžaduje objekty zabezpečení (identity). Tento článek se snaží pokrýt většinu služeb Azure, které jsou silně závislé na objektech zabezpečení, ale nejsou komplexní.
Důležité
V některých scénářích může při převodu předplatného dojít k výpadku. Aby bylo možné posoudit, jestli při převodu dojde k výpadku, je potřeba převod pečlivě naplánovat.
Následující diagram znázorňuje základní kroky, které musíte provést při převodu předplatného do jiného adresáře.
Příprava na převod
Převod předplatného Azure do jiného adresáře
Opětovné vytvoření prostředků, jako jsou přiřazení rolí, vlastní role a spravované identity, v cílovém adresáři
Rozhodnutí o převodu předplatného do jiného adresáře
Tady je několik důvodů, proč můžete chtít předplatné převést:
- Kvůli fúzi nebo akvizici společnosti chcete spravovat získané předplatné v primárním adresáři Microsoft Entra.
- Někdo ve vaší organizaci vytvořil předplatné a vy chcete konsolidovat správu do konkrétního adresáře Microsoft Entra.
- Máte aplikace, které závisí na konkrétním ID nebo adrese URL předplatného, a není snadné upravit konfiguraci nebo kód aplikace.
- Část vaší firmy je rozdělená do samostatné společnosti a některé prostředky potřebujete přesunout do jiného adresáře Microsoft Entra.
- Chcete spravovat některé prostředky v jiném adresáři Microsoft Entra za účely izolace zabezpečení.
Alternativní přístupy
Převod předplatného vyžaduje pro dokončení procesu výpadek. V závislosti na vašem scénáři můžete zvážit následující alternativní přístupy:
- Znovu vytvořte prostředky a zkopírujte data do cílového adresáře a předplatného.
- Přijměte architekturu s více adresáři a ponechte předplatné ve zdrojovém adresáři. Pomocí Azure Lighthouse delegujte prostředky tak, aby uživatelé v cílovém adresáři mohli přistupovat k předplatnému ve zdrojovém adresáři. Další informace najdete v tématu Azure Lighthouse v podnikových scénářích.
Pochopení dopadu převodu předplatného
Několik prostředků Azure je závislé na předplatném nebo adresáři. V závislosti na vaší situaci uvádí následující tabulka známý dopad převodu předplatného. Provedením kroků v tomto článku můžete znovu vytvořit některé prostředky, které existovaly před převodem předplatného.
Důležité
Tato část obsahuje seznam známých služeb nebo prostředků Azure, které závisí na vašem předplatném. Vzhledem k tomu, že se typy prostředků v Azure neustále vyvíjejí, můžou se zde vyskytovat další závislosti, které můžou způsobit zásadní změnu vašeho prostředí.
| Služba nebo prostředek | Ovlivnila | Obnovitelné | Týká se vás to? | Co můžete dělat |
|---|---|---|---|---|
| Přiřazení rolí | Ano | Yes | Výpis přiřazení rolí | Všechna přiřazení rolí se trvale odstraní. Uživatele, skupiny a instanční objekty musíte mapovat na odpovídající objekty v cílovém adresáři. Musíte znovu vytvořit přiřazení rolí. |
| Vlastní role | Ano | Yes | Výpis vlastních rolí | Všechny vlastní role se trvale odstraní. Musíte znovu vytvořit vlastní role a všechna přiřazení rolí. |
| Spravované identity přiřazené systémem | Ano | Yes | Výpis spravovaných identit | Spravované identity musíte zakázat a znovu povolit. Musíte znovu vytvořit přiřazení rolí. |
| Spravované identity přiřazené uživatelem | Ano | Yes | Výpis spravovaných identit | Musíte odstranit, znovu vytvořit a připojit spravované identity k příslušnému prostředku. Musíte znovu vytvořit přiřazení rolí. |
| Azure Key Vault | Ano | Yes | Výpis zásad přístupu ke službě Key Vault | Musíte aktualizovat ID tenanta přidružené k trezorům klíčů. Musíte odebrat a přidat nové zásady přístupu. |
| Databáze Azure SQL s povolenou integrací ověřování Microsoft Entra | Yes | No | Kontrola databází Azure SQL s ověřováním Microsoft Entra | Databázi Azure SQL s povoleným ověřováním Microsoft Entra nemůžete přenést do jiného adresáře. Další informace najdete v části věnované používání ověřování Microsoft Entra. |
| Azure Database for MySQL s povolenou integrací ověřování Microsoft Entra | Yes | No | Službu Azure Database for MySQL (jednoúčelový a flexibilní server) s povoleným ověřováním Microsoft Entra nemůžete přenést do jiného adresáře. | |
| Azure Storage a Azure Data Lake Storage Gen2 | Ano | Yes | Musíte znovu vytvořit všechny seznamy ACL. | |
| Azure Data Lake Storage Gen1 | Ano | Yes | Musíte znovu vytvořit všechny seznamy ACL. | |
| Soubory Azure | Ano | Yes | Musíte znovu vytvořit všechny seznamy ACL. | |
| Synchronizace souborů Azure | Ano | Yes | Synchronizační služba úložiště nebo účet úložiště je možné přesunout do jiného adresáře. Další informace najdete v tématu Nejčastější dotazy ke službě Azure Files. | |
| Spravované disky Azure | Ano | Yes | Pokud k šifrování Spravované disky pomocí klíčů spravovaných zákazníkem používáte sady šifrování disků, musíte zakázat a znovu povolit identity přiřazené systémem přidružené k sadám šifrování disků. A musíte znovu vytvořit přiřazení rolí, tj. znovu udělit požadovaná oprávnění pro disk Encryption Sets ve službě Key Vaults. | |
| Azure Kubernetes Service | Yes | No | Cluster AKS a jeho přidružené prostředky nemůžete přenést do jiného adresáře. Další informace najdete v tématu Nejčastější dotazy ke službě Azure Kubernetes Service (AKS). | |
| Azure Policy | Yes | No | Všechny objekty Azure Policy, včetně vlastních definic, přiřazení, výjimek a dat dodržování předpisů. | Je nutné exportovat, importovat a znovu přiřadit definice. Pak vytvořte nová přiřazení zásad a případné potřebné výjimky ze zásad. |
| Microsoft Entra Domain Services | Yes | No | Spravovanou doménu služby Microsoft Entra Domain Services nelze přenést do jiného adresáře. Další informace najdete v tématu Nejčastější dotazy týkající se služby Microsoft Entra Domain Services. | |
| Registrace aplikací | Ano | Yes | ||
| Microsoft Dev Box | Yes | No | Vývojové pole a jeho přidružené prostředky nemůžete přenést do jiného adresáře. Jakmile se předplatné přesune do jiného tenanta, nebudete moct s vývojovým polem provádět žádné akce. | |
| Prostředí nasazení Azure | Yes | No | Nemůžete přenést prostředí a jeho přidružené prostředky do jiného adresáře. Jakmile se předplatné přesune do jiného tenanta, nebudete moct ve svém prostředí provádět žádné akce. | |
| Azure Service Fabric | Yes | No | Cluster musíte znovu vytvořit. Další informace najdete v nejčastějších dotazech ke clusterům SF nebo nejčastější dotazy ke spravovaným clusterům SF. | |
| Azure Service Bus | Ano | Yes | Musíte odstranit, znovu vytvořit a připojit spravované identity k příslušnému prostředku. Musíte znovu vytvořit přiřazení rolí. | |
| Pracovní prostor Azure Synapse Analytics | Ano | Yes | Musíte aktualizovat ID tenanta přidruženého k pracovnímu prostoru Synapse Analytics. Pokud je pracovní prostor přidružený k úložišti Git, musíte aktualizovat konfiguraci Git pracovního prostoru. Další informace najdete v tématu Obnovení pracovního prostoru Synapse Analytics po převodu předplatného do jiného adresáře Microsoft Entra (tenanta). | |
| Azure Databricks | Yes | No | Azure Databricks v současné době nepodporuje přesun pracovních prostorů do nového tenanta. Další informace najdete v tématu Správa účtu Azure Databricks. |
Upozorňující
Pokud používáte šifrování neaktivních uložených uložených dat pro prostředek, jako je účet úložiště nebo databáze SQL, který má závislost na přeneseném trezoru klíčů, může to vést k neopravitelnému scénáři. Pokud máte tuto situaci, měli byste podniknout kroky pro použití jiného trezoru klíčů nebo dočasně zakázat klíče spravované zákazníkem, abyste se vyhnuli tomuto neopravitelnému scénáři.
Pokud chcete získat seznam některých prostředků Azure, které jsou ovlivněné při převodu předplatného, můžete také spustit dotaz v Azure Resource Graphu. Ukázkový dotaz najdete v tématu Seznam ovlivněných prostředků při přenosu předplatného Azure.
Požadavky
K provedení těchto kroků budete potřebovat:
- Bash v Azure Cloud Shellu nebo Azure CLI
- Vlastník fakturačního účtu předplatného, které chcete převést ve zdrojovém adresáři
- Uživatelský účet uživatele, který provádí změnu adresáře, ve zdrojovém i v cílovém adresáři
Krok 1: Příprava na převod
Přihlášení ke zdrojovému adresáři
Přihlaste se k Azure jako správce.
Seznam předplatných získáte pomocí příkazu az account list .
az account list --output tablePomocí příkazu az account set nastavte aktivní předplatné, které chcete převést.
az account set --subscription "Marketing"
Instalace rozšíření Azure Resource Graph
Rozšíření Azure CLI pro Azure Resource Graph, resource-graph, umožňuje použít příkaz az graph k dotazování prostředků spravovaných Azure Resource Managerem. Tento příkaz použijete v dalších krocích.
Pomocí příkazu az extension list zjistěte, jestli máte nainstalované rozšíření resource-graph .
az extension listPokud používáte verzi Preview nebo starší verzi rozšíření resource-graph , aktualizujte rozšíření pomocí příkazu az extension update .
az extension update --name resource-graphPokud rozšíření resource-graph není nainstalované, nainstalujte rozšíření pomocí příkazu az extension add.
az extension add --name resource-graph
Uložení všech přiřazení rolí
Seznam přiřazení rolí použijte k výpisu všech přiřazení rolí (včetně zděděných přiřazení rolí).
Abyste si usnadnili kontrolu seznamu, můžete výstup exportovat jako JSON, TSV nebo tabulku. Další informace najdete v tématu Výpis přiřazení rolí pomocí Azure RBAC a Azure CLI.
az role assignment list --all --include-inherited --output json > roleassignments.json az role assignment list --all --include-inherited --output tsv > roleassignments.tsv az role assignment list --all --include-inherited --output table > roleassignments.txtUložte seznam přiřazení rolí.
Při převodu předplatného se všechna přiřazení rolí trvale odstraní, takže je důležité uložit kopii.
Zkontrolujte seznam přiřazení rolí. V cílovém adresáři možná nebudete potřebovat přiřazení rolí.
Uložení vlastních rolí
Pomocí seznamu definic rolí az vypíšete vlastní role. Další informace najdete v tématu Vytvoření nebo aktualizace vlastních rolí Azure pomocí Azure CLI.
az role definition list --custom-role-only true --output json --query '[].{roleName:roleName, roleType:roleType}'Uložte každou vlastní roli, kterou budete potřebovat v cílovém adresáři, jako samostatný soubor JSON.
az role definition list --name <custom_role_name> > customrolename.jsonVytvořte kopie vlastních souborů rolí.
Upravte každou kopii tak, aby používala následující formát.
Tyto soubory použijete později k opětovnému vytvoření vlastních rolí v cílovém adresáři.
{ "Name": "", "Description": "", "Actions": [], "NotActions": [], "DataActions": [], "NotDataActions": [], "AssignableScopes": [] }
Určení mapování uživatelů, skupin a instančních objektů
Na základě vašeho seznamu přiřazení rolí určete uživatele, skupiny a instanční objekty, na které budete mapovat v cílovém adresáři.
Typ objektu zabezpečení můžete identifikovat tak, že se podíváte na
principalTypevlastnost v každém přiřazení role.V případě potřeby vytvořte v cílovém adresáři všechny uživatele, skupiny nebo instanční objekty, které budete potřebovat.
Výpis přiřazení rolí pro spravované identity
Spravované identity se neaktualizují, když se předplatné přenese do jiného adresáře. Proto všechny stávající spravované identity přiřazené systémem nebo uživatelem přestanou fungovat. Po převodu můžete znovu povolit všechny spravované identity přiřazené systémem. U spravovaných identit přiřazených uživatelem budete muset znovu vytvořit a připojit je v cílovém adresáři.
Projděte si seznam služeb Azure, které podporují spravované identity, a poznamenejte si, kde můžete používat spravované identity.
Pomocí příkazu az ad sp list vypíšete spravované identity přiřazené systémem a přiřazené uživatelem.
az ad sp list --all --filter "servicePrincipalType eq 'ManagedIdentity'"V seznamu spravovaných identit určete, které jsou přiřazené systémem a které jsou přiřazené uživatelem. K určení typu můžete použít následující kritéria.
Kritéria Typ spravované identity alternativeNamesvlastnost zahrnujeisExplicit=FalsePřiřazeno systémem alternativeNamesvlastnost nezahrnujeisExplicitPřiřazeno systémem alternativeNamesvlastnost zahrnujeisExplicit=TruePřiřazeno uživatelem Pomocí příkazu az identity list můžete také vypsat spravované identity přiřazené uživatelem. Další informace najdete v tématu Vytvoření, výpis nebo odstranění spravované identity přiřazené uživatelem pomocí Azure CLI.
az identity listZískejte seznam
objectIdhodnot pro spravované identity.Vyhledejte seznam přiřazení rolí a zjistěte, jestli pro spravované identity existují nějaká přiřazení rolí.
Výpis trezorů klíčů
Když vytvoříte trezor klíčů, automaticky se sváže s výchozím ID tenanta Microsoft Entra pro předplatné, ve kterém se vytvoří. Zároveň jsou k tomuto ID tenanta vázány i všechny položky zásad přístupu. Další informace najdete v tématu Přesun služby Azure Key Vault do jiného předplatného.
Upozorňující
Pokud používáte šifrování neaktivních uložených uložených dat pro prostředek, jako je účet úložiště nebo databáze SQL, který má závislost na přeneseném trezoru klíčů, může to vést k neopravitelnému scénáři. Pokud máte tuto situaci, měli byste podniknout kroky pro použití jiného trezoru klíčů nebo dočasně zakázat klíče spravované zákazníkem, abyste se vyhnuli tomuto neopravitelnému scénáři.
Pokud máte trezor klíčů, pomocí příkazu az keyvault show zobrazte seznam zásad přístupu. Další informace najdete v tématu Přiřazení zásad přístupu ke službě Key Vault.
az keyvault show --name MyKeyVault
Výpis databází Azure SQL s ověřováním Microsoft Entra
Pomocí příkazu az sql server ad-admin list a rozšíření az graph zjistěte, jestli používáte databáze Azure SQL s povolenou integrací ověřování Microsoft Entra. Další informace naleznete v tématu Konfigurace a správa ověřování Microsoft Entra pomocí SQL.
az sql server ad-admin list --ids $(az graph query -q "resources | where type == 'microsoft.sql/servers' | project id" --query data[*].[id] -o tsv)
Seznamy ACL seznamu
Pokud používáte Azure Data Lake Storage Gen1, zobrazte seznam seznamů ACL použitých pro jakýkoli soubor pomocí webu Azure Portal nebo PowerShellu.
Pokud používáte Azure Data Lake Storage Gen2, zobrazte seznam seznamů ACL použitých pro jakýkoli soubor pomocí webu Azure Portal nebo PowerShellu.
Pokud používáte Službu Azure Files, uveďte seznamy ACL, které se použijí pro libovolný soubor.
Výpis dalších známých prostředků
Pomocí příkazu az account show získejte ID vašeho předplatného (in
bash).subscriptionId=$(az account show --output tsv --query id)Pomocí rozšíření az graph můžete vypsat další prostředky Azure se známými závislostmi adresáře Microsoft Entra (v
bash).az graph query -q 'resources | where type != "microsoft.azureactivedirectory/b2cdirectories" | where identity <> "" or properties.tenantId <> "" or properties.encryptionSettingsCollection.enabled == true | project name, type, kind, identity, tenantId, properties.tenantId' --subscriptions $subscriptionId --output yaml
Krok 2: Převod předplatného
V tomto kroku přenesete předplatné ze zdrojového adresáře do cílového adresáře. Postup se bude lišit v závislosti na tom, jestli chcete převést vlastnictví fakturace.
Upozorňující
Při přenosu předplatného se všechna přiřazení rolí ve zdrojovém adresáři trvale odstraní a nelze je obnovit. Převedené předplatné nejde vrátit zpět. Před tímto krokem nezapomeňte dokončit předchozí kroky.
Rozhodněte se, jestli chcete do jiného účtu převést i vlastnictví fakturace.
Převeďte předplatné do jiného adresáře.
- Pokud chcete zachovat aktuálního vlastníka fakturace, postupujte podle pokynů v tématu Přiřazení nebo přidání předplatného Azure do tenanta Microsoft Entra.
- Pokud chcete převést i vlastnictví fakturace, použijte postup v tématu Převod vlastnictví fakturace předplatného Azure na jiný účet. Pokud chcete předplatné převést do jiného adresáře, musíte zaškrtnout políčko Tenant Microsoft Entra předplatného.
Jakmile dokončíte převod předplatného, vraťte se k tomuto článku a znovu vytvořte prostředky v cílovém adresáři.
Krok 3: Opětovné vytvoření prostředků
Přihlášení k cílovému adresáři
V cílovém adresáři se přihlaste jako uživatel, který přijal žádost o převod.
Ke správě prostředků bude mít přístup pouze uživatel v novém účtu, který žádost o převod přijal.
Seznam předplatných získáte pomocí příkazu az account list .
az account list --output tablePomocí příkazu az account set nastavte aktivní předplatné, které chcete použít.
az account set --subscription "Contoso"
Vytváření vlastních rolí
Pomocí příkazu az role definition create vytvořte každou vlastní roli ze souborů, které jste vytvořili dříve. Další informace najdete v tématu Vytvoření nebo aktualizace vlastních rolí Azure pomocí Azure CLI.
az role definition create --role-definition <role_definition>
Přiřazení rolí
Pomocí příkazu az role assignment create přiřaďte role uživatelům, skupinám a instančním objektům. Další informace najdete v tématu Přiřazování rolí Azure s využitím Azure CLI.
az role assignment create --role <role_name_or_id> --assignee <assignee> --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
Aktualizace spravovaných identit přiřazených systémem
Zakažte a znovu povolte spravované identity přiřazené systémem.
Služba Azure Více informací Virtuální počítače Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí Azure CLI Škálovací sady virtuálních počítačů Konfigurace spravovaných identit pro prostředky Azure ve škálovací sadě virtuálních počítačů pomocí Azure CLI Další služby Služby, které podporují spravované identity pro prostředky Azure Pomocí příkazu az role assignment create přiřaďte role spravovaným identitám přiřazeným systémem. Další informace najdete v tématu Přiřazení přístupu ke spravované identitě k prostředku pomocí Azure CLI.
az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
Aktualizace spravovaných identit přiřazených uživatelem
Odstraňte, znovu vytvořte a připojte spravované identity přiřazené uživatelem.
Služba Azure Více informací Virtuální počítače Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí Azure CLI Škálovací sady virtuálních počítačů Konfigurace spravovaných identit pro prostředky Azure ve škálovací sadě virtuálních počítačů pomocí Azure CLI Další služby Služby, které podporují spravované identity pro prostředky Azure
Vytvoření, výpis nebo odstranění spravované identity přiřazené uživatelem pomocí Azure CLIPomocí příkazu az role assignment create přiřaďte role spravovaným identitám přiřazeným uživatelem. Další informace najdete v tématu Přiřazení přístupu ke spravované identitě k prostředku pomocí Azure CLI.
az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
Aktualizace trezorů klíčů
Tato část popisuje základní kroky pro aktualizaci trezorů klíčů. Další informace najdete v tématu Přesun služby Azure Key Vault do jiného předplatného.
Aktualizujte ID tenanta přidružené ke všem existujícím trezorům klíčů v předplatném na cílový adresář.
Odeberte všechny stávající položky zásad přístupu.
Přidejte nové položky zásad přístupu přidružené k cílovému adresáři.
Aktualizace seznamů ACL
Pokud používáte Azure Data Lake Storage Gen1, přiřaďte příslušné seznamy ACL. Další informace najdete v tématu Zabezpečení dat uložených v Azure Data Lake Storage Gen1.
Pokud používáte Azure Data Lake Storage Gen2, přiřaďte příslušné seznamy ACL. Další informace najdete v tématu Řízení přístupu ve službě Azure Data Lake Storage Gen2.
Pokud používáte Azure Files, přiřaďte příslušné seznamy ACL.
Kontrola dalších metod zabezpečení
I když se přiřazení rolí během přenosu odeberou, uživatelé v původním účtu vlastníka můžou mít k předplatnému nadále přístup prostřednictvím jiných metod zabezpečení, včetně:
- Přístupové klíče pro služby, jako je Storage.
- Certifikáty pro správu, které správci uživatele udělí přístup k prostředkům předplatného.
- Oprávnění pro vzdálený přístup ke službám, jako je Azure Virtual Machines.
Pokud vaším záměrem je odebrat přístup uživatelům ve zdrojovém adresáři, aby neměli přístup k cílovému adresáři, měli byste zvážit obměně všech přihlašovacích údajů. Dokud se přihlašovací údaje neaktualizují, budou mít uživatelé po převodu i nadále přístup.
Obměňte přístupové klíče účtu úložiště. Další informace najdete v tématu Správa přístupových klíčů účtu úložiště.
Pokud používáte přístupové klíče pro jiné služby, jako je Azure SQL Database nebo zasílání zpráv služby Azure Service Bus, obměňte přístupové klíče.
V případě prostředků, které používají tajné kódy, otevřete nastavení prostředku a aktualizujte tajný klíč.
V případě prostředků, které používají certifikáty, aktualizujte certifikát.