Freigeben über


Verschieben eines Azure Key Vault in ein anderes Abonnement

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren von Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zu Az.

Überblick

Von Bedeutung

Das Verschieben eines Schlüsseltresors in ein anderes Abonnement stellt einen Breaking Change Ihrer Umgebung dar. Stellen Sie sicher, dass Ihnen die Auswirkungen dieser Änderung bekannt sind, und befolgen Sie die Anleitungen in diesem Artikel sorgfältig, bevor Sie sich entscheiden, einen Schlüsseltresor in ein neues Abonnement zu verschieben. Wenn Sie verwaltete Dienstidentitäten (Managed Service Identities, MSI) verwenden, lesen Sie die Anweisungen für nach dem Umzug am Ende des Dokuments.

Azure Key Vault ist automatisch an die Standardmäßige Microsoft Entra ID-Mandanten-ID für das Abonnement gebunden, in dem es erstellt wird. Sie finden die Mandanten-ID, die Ihrer Abonnement zugeordnet ist, indem Sie dieser Anleitung folgen. Alle Zugriffsrichtlinieneinträge und Rollenzuweisungen sind ebenfalls an diese Mandanten-ID gebunden. Wenn Sie Ihr Azure-Abonnement von Mandant A zu Mandant B verschieben, sind Ihre vorhandenen Schlüsseltresore für die Dienstprinzipale (Benutzer und Anwendungen) in Mandant B unzugänglich. Um dieses Problem zu beheben, müssen Sie:

Hinweis

Wenn Key Vault über Azure Lighthouse erstellt wird, ist er stattdessen an die Verwaltung der Mandanten-ID gebunden. Azure Lighthouse wird nur vom Berechtigungsmodell für Tresorzugriffsrichtlinien unterstützt. Weitere Informationen zu Mandanten in Azure Lighthouse finden Sie unter Mandanten, Benutzer und Rollen in Azure Lighthouse.

  • Ändern Sie die Mandanten-ID, die allen vorhandenen Schlüsseltresoren im Abonnement zugeordnet ist, in den Mandanten B.
  • Entfernen Sie alle vorhandenen Zugriffsrichtlinieneinträge.
  • Fügen Sie neue Zugriffsrichtlinieneinträge hinzu, die Mandant B zugeordnet sind.

Weitere Informationen zu Azure Key Vault und Microsoft Entra ID finden Sie unter:

Einschränkungen

Von Bedeutung

Schlüsseltresor, die für die Datenträgerverschlüsselung verwendet werden, können nicht verschoben werden Wenn Sie den Schlüsseltresor mit Datenträgerverschlüsselung für einen virtuellen Computer (VM) verwenden, kann der Schlüsseltresor nicht in eine andere Ressourcengruppe oder ein Abonnement verschoben werden, während die Datenträgerverschlüsselung aktiviert ist. Sie müssen die Datenträgerverschlüsselung deaktivieren, bevor Sie den Schlüsseltresor in eine neue Ressourcengruppe oder ein neues Abonnement verschieben.

Einige Dienstprinzipale (Benutzer und Anwendungen) sind an einen bestimmten Mandanten gebunden. Wenn Sie Ihren Schlüsseltresor in ein Abonnement in einem anderen Mandanten verschieben, besteht die Möglichkeit, dass Sie den Zugriff auf einen bestimmten Dienstprinzipal nicht wiederherstellen können. Stellen Sie sicher, dass alle wichtigen Dienstprinzipale in dem Mandanten vorhanden sind, in den Sie Ihren Schlüsseltresor verschieben.

Voraussetzungen

Sie können vorhandene Rollen über das Azure-Portal, PowerShell, Azure CLI oder REST-API überprüfen.

Verschieben eines Schlüsseltresors in ein neues Abonnement

  1. Melden Sie sich beim Azure-Portal an.
  2. Navigieren Sie zu Ihrem Key Vault
  3. Wählen Sie auf der Registerkarte "Übersicht" aus.
  4. Wählen Sie die Schaltfläche "Verschieben" aus.
  5. Wählen Sie in den Dropdownoptionen "In ein anderes Abonnement verschieben" aus.
  6. Auswählen der Ressourcengruppe, in die der Schlüsseltresor verschoben werden soll
  7. Bestätigen Sie die Warnung bezüglich des Verschiebens von Ressourcen.
  8. Wählen Sie "OK" aus.

Weitere Schritte, wenn sich das Abonnement in einem neuen Mandanten befindet

Wenn Sie Ihr Abonnement mit dem Schlüsseltresor in einen neuen Mandanten verschoben haben, müssen Sie die Mandanten-ID manuell aktualisieren und alte Zugriffsrichtlinien und Rollenzuweisungen entfernen. Hier finden Sie Lernprogramme für diese Schritte in PowerShell und Azure CLI. Wenn Sie PowerShell verwenden, müssen Sie möglicherweise den befehl Clear-AzContext ausführen, damit Sie Ressourcen außerhalb Des aktuellen ausgewählten Bereichs anzeigen können.

Aktualisieren der Mandanten-ID in einem Schlüsseltresor

Select-AzSubscription -SubscriptionId <your-subscriptionId>                # Select your Azure Subscription
$vaultResourceId = (Get-AzKeyVault -VaultName myvault).ResourceId          # Get your key vault's Resource ID 
$vault = Get-AzResource -ResourceId $vaultResourceId -ExpandProperties     # Get the properties for your key vault
$vault.Properties.TenantId = (Get-AzContext).Tenant.TenantId               # Change the Tenant that your key vault resides in
$vault.Properties.AccessPolicies = @()                                     # Access policies can be updated with real
                                                                           # applications/users/rights so that it does not need to be                             # done after this whole activity. Here we are not setting 
                                                                           # any access policies. 
Set-AzResource -ResourceId $vaultResourceId -Properties $vault.Properties  # Modifies the key vault's properties.

Clear-AzContext                                                            #Clear the context from PowerShell
Connect-AzAccount                                                          #Log in again to confirm you have the correct tenant id
az account set -s <your-subscriptionId>                                    # Select your Azure Subscription
tenantId=$(az account show --query tenantId)                               # Get your tenantId
az keyvault update -n myvault --remove Properties.accessPolicies           # Remove the access policies
az keyvault update -n myvault --set Properties.tenantId=$tenantId          # Update the key vault tenantId

Aktualisieren von Zugriffsrichtlinien und Rollenzuweisungen

Hinweis

Wenn Key Vault das Azure RBAC-Berechtigungsmodell verwendet, müssen Sie auch die Rollen von Key Vault entfernen. Sie können Rollenzuweisungen über das Azure-Portal, azure CLI oder PowerShell entfernen.

Nachdem Ihr Tresor der richtigen Mandanten-ID zugeordnet ist und alte Zugriffsrichtlinieneinträge oder Rollenzuweisungen entfernt werden, legen Sie neue Zugriffsrichtlinieneinträge oder Rollenzuweisungen fest.

Informationen zum Zuweisen von Richtlinien finden Sie unter:

Informationen zum Hinzufügen von Rollenzuweisungen finden Sie unter:

Aktualisieren verwalteter Identitäten

Wenn Sie das gesamte Abonnement übertragen und eine verwaltete Identität für Azure-Ressourcen verwenden, müssen Sie es auch auf den neuen Microsoft Entra-Mandanten aktualisieren. Weitere Informationen zu verwalteten Identitäten, Übersicht über verwaltete Identitäten.

Wenn Sie verwaltete Identität verwenden, müssen Sie auch die Identität aktualisieren, da sich die alte Identität nicht mehr im richtigen Microsoft Entra-Mandanten befindet. Lesen Sie die folgenden Dokumente, um dieses Problem zu beheben.

Nächste Schritte