Migrace prostředků identity na globální Azure
Důležité
Od srpna 2018jsme nepřijali nové zákazníky ani nemuseli nasazovat žádné nové funkce a služby do původních Microsoft Cloudch německých umístění.
Na základě vývoje potřeb zákazníků jsme nedávno spustili dvě nové oblasti Datacenter v Německu, nabízeli si zaplnění zákaznických dat, úplné připojení ke globální cloudové síti Microsoftu a také ceny za konkurenční trhy.
Kromě toho ve září 30.2020 jsme oznámili, že Microsoft Cloud Německo by se uzavřela vysílání 29.. října 2021. Další podrobnosti jsou k dispozici zde: https://www.microsoft.com/cloud-platform/germany-cloud-regions .
Využijte výhod funkcí, zabezpečení na podnikové úrovni a kompletních funkcí dostupných v našich nových oblastech německého datového centra migrací ještě dnes.
Tento článek obsahuje informace, které vám pomůžou migrovat prostředky Azure identity z Azure Německo do globální Azure.
Doprovodné materiály k identitám a klientům jsou určené pouze pro zákazníky Azure. pokud používáte společné klienty Azure Active Directory (azure AD) pro Azure a Microsoft 365 (nebo jiné produkty microsoftu), dochází ke složitým migracím identity a před použitím těchto pokynů k migraci byste nejdřív měli kontaktovat svého správce účtu.
Azure Active Directory
Azure AD v Azure Německo je oddělený od Azure AD v globálním Azure. V současné době nemůžete přesouvat uživatele Azure AD z Azure Německo do globální Azure.
Názvy výchozích tenantů v Azure Německo a globální Azure se vždycky liší, protože Azure automaticky připojí příponu na základě prostředí. Například uživatelské jméno pro člena tenanta Contoso v globálním Azure je user1@contoso.microsoftazure.com . Ve službě Azure Německo je to user1@contoso.microsoftazure.de .
Pokud ve službě Azure AD používáte vlastní názvy domén (například contoso.com), musíte název domény zaregistrovat v Azure. Vlastní názvy domén lze v jednom okamžiku definovat pouze v jednom cloudovém prostředí. Pokud je doména již zaregistrována v jakékoli instanci Azure Active Directory, ověřování domény se nezdařilo. Například uživatel user1@contoso.com , který existuje v Azure Německo, nemůže současně existovat v globálním Azure se stejným názvem. Registrace pro contoso.com by nedošlo k chybě.
"Tichá" migrace, při které už někteří uživatelé mají nové prostředí a někteří uživatelé pořád ve starém prostředí vyžadují pro různá cloudová prostředí jiné přihlašovací názvy.
Nepokrýváme všechny možné scénáře migrace v tomto článku. Doporučení závisí například na tom, jak zřizujete uživatele, jaké možnosti máte používat pro různá uživatelská jména nebo UserPrincipalNames a další závislosti. Ale shromáždili jsme několik tipů, které vám pomůžou s inventářem uživatelů a skupin ve vašem aktuálním prostředí.
Pokud chcete získat seznam všech rutin týkajících se Azure AD, spusťte:
Get-Help Get-AzureAD*
Uživatelé inventáře
Pokud chcete získat přehled o všech uživatelích a skupinách, které existují ve vaší instanci Azure AD:
Get-AzureADUser -All $true
Chcete-li vypsat pouze povolené účty, přidejte následující filtr:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}
Chcete-li vytvořit úplný výpis všech atributů, pro případ, že byste zapomněli něco:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *
Chcete-li vybrat atributy, které potřebujete znovu vytvořit uživatele:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname
pokud chcete exportovat seznam do Excel, použijte na konci tohoto seznamu rutinu export-Csv . Úplný export může vypadat jako v tomto příkladu:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8
Poznámka
Nemůžete migrovat hesla. Místo toho je třeba přiřadit nová hesla nebo používat samoobslužný mechanismus v závislosti na vašem scénáři.
V závislosti na vašem prostředí možná budete potřebovat shromažďovat další informace, například hodnoty pro rozšíření, DirectReportnebo LicenseDetail.
Naformátujte soubor CSV podle potřeby. Pak postupujte podle kroků popsaných v tématu Import dat ze sdíleného svazku clusteru a znovu vytvořte uživatele v novém prostředí.
Skupiny inventáře
K dokumentu členství ve skupině:
Get-AzureADGroup
Pro získání seznamu členů pro každou skupinu:
Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}
Objekty a aplikace služby Inventory
I když je nutné znovu vytvořit všechny instanční objekty a aplikace, je dobrým zvykem zdokumentovat stav objektů a aplikací služby. K získání rozsáhlého seznamu všech instančních objektů můžete použít následující rutiny:
Get-AzureADServicePrincipal |Format-List *
Get-AzureADApplication |Format-List *
Další informace můžete získat pomocí jiných rutin, které začínají Get-AzureADServicePrincipal* na nebo Get-AzureADApplication* .
Role adresáře inventáře
Postup při dokumentování aktuálního přiřazení role:
Get-AzureADDirectoryRole
Projděte si jednotlivé role, abyste našli uživatele nebo aplikace, které jsou přidružené k této roli:
Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}
Další informace najdete tady:
- Přečtěte si o hybridních řešeních identit.
- přečtěte si blogový příspěvek použití Azure AD Connect s více cloudy , abyste se dozvěděli, jak můžete synchronizovat různé cloudové prostředí.
- přečtěte si další informace o Azure Active Directory.
- Přečtěte si o vlastních názvech domén.
- Naučte se importovat data ze sdíleného svazku clusteru do Azure AD.
Azure AD Connect
Azure AD Connect je nástroj, který synchronizuje data vaší identity mezi instancí místní Active Directory a Azure Active Directory (Azure AD). aktuální verze Azure AD Connect funguje jak pro azure německo, tak pro globální azure. Azure AD Connect se může synchronizovat jenom s jednou instancí Azure AD. Pokud chcete současně synchronizovat Azure Německo a globální Azure, zvažte tyto možnosti:
- pro druhou instanci Azure AD Connect použijte další server. na stejném serveru nemůžete mít více instancí Azure AD Connect.
- Definujte nové přihlašovací jméno pro uživatele. Část domény (po @ ) názvu přihlášení musí být v každém prostředí odlišná.
- definujte jasný "zdroj pravdy" při synchronizaci zpět (z Azure AD až po místní Active Directory).
pokud už používáte Azure AD Connect k synchronizaci do a z Azure německo, ujistěte se, že migrujete všechny ručně vytvořené uživatele. následující rutina prostředí PowerShell obsahuje seznam všech uživatelů, kteří nejsou synchronizovaný pomocí Azure AD Connect:
Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}
Další informace najdete tady:
- přečtěte si další informace o Azure AD Connect.
Multi-Factor Authentication
Musíte znovu vytvořit uživatele a znovu definovat vaši instanci Azure AD Multi-Factor Authentication v novém prostředí.
Získání seznamu uživatelských účtů, pro které je povolené nebo vymáhání služby Multi-Factor Authentication:
- Přihlaste se k webu Azure Portal.
- Vyberte Uživatelé>Multi-Factor AuthenticationVšichni uživatelé> .
- Když budete přesměrováni na stránku služby Multi-Factor Authentication, nastavte příslušné filtry tak, aby získaly seznam uživatelů.
Další informace najdete tady:
- Přečtěte si další informace o Multi-Factor Authentication Azure AD.
Další kroky
Přečtěte si o nástrojích, technikách a doporučeních pro migraci prostředků v následujících kategoriích služeb: