Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zu Az.
Überblick
Von Bedeutung
Das Verschieben eines Schlüsseltresors in ein anderes Abonnement stellt einen Breaking Change Ihrer Umgebung dar. Stellen Sie sicher, dass Ihnen die Auswirkungen dieser Änderung bekannt sind, und befolgen Sie die Anleitungen in diesem Artikel sorgfältig, bevor Sie sich entscheiden, einen Schlüsseltresor in ein neues Abonnement zu verschieben. Wenn Sie verwaltete Dienstidentitäten (Managed Service Identities, MSI) verwenden, lesen Sie die Anweisungen für nach dem Umzug am Ende des Dokuments.
Azure Key Vault ist automatisch an die Standardmäßige Microsoft Entra ID-Mandanten-ID für das Abonnement gebunden, in dem es erstellt wird. Sie finden die Mandanten-ID, die Ihrer Abonnement zugeordnet ist, indem Sie dieser Anleitung folgen. Alle Zugriffsrichtlinieneinträge und Rollenzuweisungen sind ebenfalls an diese Mandanten-ID gebunden. Wenn Sie Ihr Azure-Abonnement von Mandant A zu Mandant B verschieben, sind Ihre vorhandenen Schlüsseltresore für die Dienstprinzipale (Benutzer und Anwendungen) in Mandant B unzugänglich. Um dieses Problem zu beheben, müssen Sie:
Hinweis
Wenn Key Vault über Azure Lighthouse erstellt wird, ist er stattdessen an die Verwaltung der Mandanten-ID gebunden. Azure Lighthouse wird nur vom Berechtigungsmodell für Tresorzugriffsrichtlinien unterstützt. Weitere Informationen zu Mandanten in Azure Lighthouse finden Sie unter Mandanten, Benutzer und Rollen in Azure Lighthouse.
- Ändern Sie die Mandanten-ID, die allen vorhandenen Schlüsseltresoren im Abonnement zugeordnet ist, in den Mandanten B.
- Entfernen Sie alle vorhandenen Zugriffsrichtlinieneinträge.
- Fügen Sie neue Zugriffsrichtlinieneinträge hinzu, die Mandant B zugeordnet sind.
Weitere Informationen zu Azure Key Vault und Microsoft Entra ID finden Sie unter:
Einschränkungen
Von Bedeutung
Schlüsseltresor, die für die Datenträgerverschlüsselung verwendet werden, können nicht verschoben werden Wenn Sie den Schlüsseltresor mit Datenträgerverschlüsselung für einen virtuellen Computer (VM) verwenden, kann der Schlüsseltresor nicht in eine andere Ressourcengruppe oder ein Abonnement verschoben werden, während die Datenträgerverschlüsselung aktiviert ist. Sie müssen die Datenträgerverschlüsselung deaktivieren, bevor Sie den Schlüsseltresor in eine neue Ressourcengruppe oder ein neues Abonnement verschieben.
Einige Dienstprinzipale (Benutzer und Anwendungen) sind an einen bestimmten Mandanten gebunden. Wenn Sie Ihren Schlüsseltresor in ein Abonnement in einem anderen Mandanten verschieben, besteht die Möglichkeit, dass Sie den Zugriff auf einen bestimmten Dienstprinzipal nicht wiederherstellen können. Stellen Sie sicher, dass alle wichtigen Dienstprinzipale in dem Mandanten vorhanden sind, in den Sie Ihren Schlüsseltresor verschieben.
Voraussetzungen
- Zugriffsebene Mitwirkender oder höher für das aktuelle Abonnement mit dem Schlüsseltresor. Sie können Rollen mithilfe des Azure-Portals, der Azure CLI oder der PowerShell zuweisen.
- Zugriffsebene Mitwirkende oder höher für das Abonnement, in das Sie Ihren Schlüsseltresor verschieben möchten. Sie können Rollen mithilfe des Azure-Portals, der Azure CLI oder der PowerShell zuweisen.
- Eine Ressourcengruppe im neuen Abonnement. Sie können eine erstellen, indem Sie das Azure-Portal, PowerShell oder azure CLI verwenden.
Sie können vorhandene Rollen über das Azure-Portal, PowerShell, Azure CLI oder REST-API überprüfen.
Verschieben eines Schlüsseltresors in ein neues Abonnement
- Melden Sie sich beim Azure-Portal an.
- Navigieren Sie zu Ihrem Key Vault
- Wählen Sie auf der Registerkarte "Übersicht" aus.
- Wählen Sie die Schaltfläche "Verschieben" aus.
- Wählen Sie in den Dropdownoptionen "In ein anderes Abonnement verschieben" aus.
- Auswählen der Ressourcengruppe, in die der Schlüsseltresor verschoben werden soll
- Bestätigen Sie die Warnung bezüglich des Verschiebens von Ressourcen.
- Wählen Sie "OK" aus.
Weitere Schritte, wenn sich das Abonnement in einem neuen Mandanten befindet
Wenn Sie Ihr Abonnement mit dem Schlüsseltresor in einen neuen Mandanten verschoben haben, müssen Sie die Mandanten-ID manuell aktualisieren und alte Zugriffsrichtlinien und Rollenzuweisungen entfernen. Hier finden Sie Lernprogramme für diese Schritte in PowerShell und Azure CLI. Wenn Sie PowerShell verwenden, müssen Sie möglicherweise den befehl Clear-AzContext ausführen, damit Sie Ressourcen außerhalb Des aktuellen ausgewählten Bereichs anzeigen können.
Aktualisieren der Mandanten-ID in einem Schlüsseltresor
Select-AzSubscription -SubscriptionId <your-subscriptionId> # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId # Get your key vault's Resource ID
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @() # Access policies can be updated with real
# applications/users/rights so that it does not need to be # done after this whole activity. Here we are not setting
# any access policies.
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties # Modifies the key vault's properties.
Clear-AzContext #Clear the context from PowerShell
Connect-AzAccount #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId> # Select your Azure Subscription
tenantId=$(az account show --query tenantId) # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId # Update the key vault tenantId
Aktualisieren von Zugriffsrichtlinien und Rollenzuweisungen
Hinweis
Wenn Key Vault das Azure RBAC-Berechtigungsmodell verwendet, müssen Sie auch die Rollen von Key Vault entfernen. Sie können Rollenzuweisungen über das Azure-Portal, azure CLI oder PowerShell entfernen.
Nachdem Ihr Tresor der richtigen Mandanten-ID zugeordnet ist und alte Zugriffsrichtlinieneinträge oder Rollenzuweisungen entfernt werden, legen Sie neue Zugriffsrichtlinieneinträge oder Rollenzuweisungen fest.
Informationen zum Zuweisen von Richtlinien finden Sie unter:
- Weisen Sie eine Zugriffsrichtlinie mithilfe des Portals zu
- Zuweisen einer Zugriffsrichtlinie mit Azure CLI
- Zuweisen einer Zugriffsrichtlinie mithilfe von PowerShell
Informationen zum Hinzufügen von Rollenzuweisungen finden Sie unter:
- Zuweisen von Azure-Rollen mithilfe des Azure-Portals
- Zuweisen von Azure-Rollen mithilfe der Azure-Befehlszeilenschnittstelle
- Zuweisen von Azure-Rollen mithilfe von PowerShell
Aktualisieren verwalteter Identitäten
Wenn Sie das gesamte Abonnement übertragen und eine verwaltete Identität für Azure-Ressourcen verwenden, müssen Sie es auch auf den neuen Microsoft Entra-Mandanten aktualisieren. Weitere Informationen zu verwalteten Identitäten, Übersicht über verwaltete Identitäten.
Wenn Sie verwaltete Identität verwenden, müssen Sie auch die Identität aktualisieren, da sich die alte Identität nicht mehr im richtigen Microsoft Entra-Mandanten befindet. Lesen Sie die folgenden Dokumente, um dieses Problem zu beheben.
Nächste Schritte
- Weitere Informationen zu Schlüsseln, geheimen Schlüsseln und Zertifikaten
- Konzeptionelle Informationen, einschließlich der Interpretation von Key Vault-Protokollen, finden Sie unter Key Vault-Protokollierung
- Entwicklerhandbuch für Key Vault
- Azure Key Vault-Sicherheitsfunktionen
- Konfigurieren von Azure Key Vault-Firewalls und virtuellen Netzwerken