Verschieben von Ressourcen für die Azure-Dateisynchronisierung in eine andere Ressourcengruppe, ein anderes Abonnement oder einen anderen Microsoft Entra-Mandanten

In diesem Artikel wird beschrieben, wie Sie Änderungen an einer Ressourcengruppe, einem Abonnement oder einem Microsoft Entra-Mandanten für Ihre Cloudressourcen für die Azure-Dateisynchronisierung und Azure-Speicherkonten vornehmen.

Bei der Planung von Änderungen an den Cloudressourcen für die Azure-Dateisynchronisierung müssen alle Speicherressourcen gleichzeitig betrachtet werden. Folgende Ressourcen existieren:

Ressourcen für die Azure-Dateisynchronisierung (in hierarchischer Reihenfolge)

• Speichersynchronisierungsdienst
  • Registrierter Server
  • Synchronisierungsgruppe
    • Cloudendpunkt
    • Serverendpunkt

In der Azure-Dateisynchronisierung ist die Speichersynchronisierungsdienst-Ressource die einzige Ressource, die verschoben werden kann. Untergeordnete Ressourcen sind an ihre übergeordnete Ressource gebunden und können nicht in einen anderen Storage-Synchronisierungsdienst verschoben werden.

Azure-Speicherressourcen (in hierarchischer Reihenfolge)

• Speicherkonto
  • Dateifreigabe

Die einzige Ressource, die verschoben werden kann, ist das Speicherkonto. Eine Azure-Dateifreigabe kann, ebenso wie eine untergeordnete Ressource, nicht in ein anderes Speicherkonto verschoben werden.

Unterstützte Kombinationen

Bei der Planung einer Ressourcenverschiebung müssen das Speicherkonto und die Azure-Dateisynchronisierungsressource auf oberster Ebene – der so genannte Speichersynchronisierungsdienst – gemeinsam betrachtet werden.

Als Best Practice sollten sich der Storage-Synchronisierungsdienst und die Speicherkonten, die zu synchronisierende Dateifreigaben enthalten, immer im selben Abonnement befinden. Die folgenden Kombinationen werden unterstützt:

• Speichersynchronisierungsdienst und Speicherkonten befinden sich in verschiedenen Ressourcengruppen (im selben Azure-Mandanten).
• Speichersynchronisierungsdienst und Speicherkonten befinden sich in verschiedenen Abonnements (im selben Azure-Mandanten).

Wichtig

Durch verschiedene Kombinationen von Verschiebungen können Speichersynchronisierungsdienst und Speicherkonten in unterschiedlichen Abonnements landen, die von verschiedenen Microsoft Entra-Mandanten gesteuert werden. Die Synchronisierung scheint sogar zu funktionieren, aber dies ist keine unterstützte Konfiguration. Die Synchronisierung kann zu einem späteren Zeitpunkt beendet werden, und es gibt keine Möglichkeit, sie wieder in einen funktionierenden Zustand zu versetzen.

Bei der Planung der Ressourcenverschiebung müssen Sie verschiedene Überlegungen zum Verschieben innerhalb desselben Microsoft Entra-Mandanten und zum Verschieben in einen anderen Microsoft Entra-Mandanten berücksichtigen. Wenn Sie Microsoft Entra-Mandanten verschieben, verschieben Sie Synchronisierungs- und Speicherressourcen immer gemeinsam.

Verschieben innerhalb desselben Microsoft Entra-Mandanten

Das Azure-Portal bietet eine bequeme Möglichkeit zum Verschieben einer Speichersynchronisierungsdienst-Ressource. Navigieren Sie zu dem Speichersynchronisierungsdienst, den Sie verschieben möchten, und wählen Sie in der Befehlsleiste den Befehl Verschieben aus. Dieselben Schritte gelten für das Verschieben eines Speicherkontos. Auf diese Weise können Sie auch alle Ressourcen in einer Ressourcengruppe verschieben. Das Verschieben einer vollständigen Ressourcengruppe wird empfohlen, wenn sich der Storage-Synchronisierungsdienst und alle von diesem Dienst verwendeten Speicherkonten in dieser Ressourcengruppe befinden.

Warnung

Wenn Sie eine Speicherkontoressource verschieben, wird die Synchronisierung sofort beendet. Sie müssen die Synchronisierung manuell dazu autorisieren, auf die entsprechenden Speicherkonten im neuen Abonnement zuzugreifen. Im Abschnitt Autorisierung des Speicherzugriffs durch die Azure-Dateisynchronisierung finden Sie die notwendigen Schritte.

Verschieben in einen neuen Microsoft Entra-Mandanten

Einzelne Ressourcen, wie z. B. ein Storage-Synchronisierungsdienst oder Speicherkonten, können nicht einzeln in einen anderen Microsoft Entra-Mandanten verschoben werden. Nur Azure-Abonnements können über Microsoft Entra-Mandanten hinweg verschoben werden. Betrachten Sie Ihre Abonnementstruktur im neuen Microsoft Entra-Mandanten. Sie können ein dediziertes Abonnement für die Azure-Dateisynchronisierung verwenden.

1. Erstellen Sie ein Azure-Abonnement (oder bestimmen Sie ein vorhandenes im alten Mandanten, das verschoben werden soll).
2. Führen Sie für Ihren Speichersynchronisierungsdienst und alle zugehörigen Speicherkonten eine Abonnementverschiebung innerhalb desselben Microsoft Entra-Mandanten aus.
3. Die Synchronisierung wird beendet. Schließen Sie die Mandantenverschiebung sofort ab, oder stellen Sie den Zugriff der Synchronisierung auf die verschobenen Speicherkonten wieder her. Sie können diese dann später in den neuen Microsoft Entra-Mandanten verschieben.

Sobald alle zugehörigen Ressourcen für die Azure-Dateisynchronisierung in einem eigenen Abonnement zusammengefasst wurden, können Sie das gesamte Abonnement in den Microsoft Entra-Zielmandanten verschieben. Mit dem Leitfaden zum Übertragen von Abonnements können Sie eine solche Übertragung planen und ausführen.

Warnung

Wenn Sie ein Abonnement von einem Mandanten auf einen anderen übertragen, wird die Synchronisierung sofort beendet. Sie müssen die Synchronisierung manuell dazu autorisieren, auf die entsprechenden Speicherkonten im neuen Abonnement zuzugreifen. Im Abschnitt Autorisierung des Speicherzugriffs durch die Azure-Dateisynchronisierung finden Sie die notwendigen Schritte.

Sie können mit der Migration beginnen, sobald Sie über einen Plan und die erforderlichen Berechtigungen verfügen:

1. Navigieren Sie im Azure-Portal zum Blatt Übersicht für Ihr Abonnement.
2. Wählen Sie Verzeichnis ändern aus.
3. Führen Sie die Schritte des Assistenten aus, um den neuen Microsoft Entra-Mandanten zuzuweisen.

Wiederherstellen von Access für verwaltete Identitätstopologie

Wenn verwaltete Identitäten aktiviert sind und Speicherressourcen in einen anderen Mandanten verschoben werden, wird die Synchronisierung beendet. Verwaltete Identitäten und RBAC-Rollen werden nicht übertragen. Nachdem die Ressourcenübertragung abgeschlossen ist, können Sie verwaltete Identitäten erneut aktivieren und dann die RBAC-Rollen neu zuweisen.

Wichtig

Auch wenn Sie Ressourcen innerhalb desselben Microsoft Entra-Mandanten verschieben, werden RBAC-Rollenzuweisungen nicht mit den Ressourcen verschoben. Sie müssen sie nach der Verschiebung manuell neu erstellen, um den Synchronisierungszugriff wiederherzustellen. Obwohl das System automatisch die verwaisten Rollenzuweisungen entfernt, empfiehlt es sich, sie vor dem Verschieben zu entfernen, um eine saubere Konfiguration beizubehalten.

Nachdem Sie Ihren Speichersynchronisierungsdienst verschoben haben, können Sie folgendes mit PowerShell ausführen, um neue verwaltete Identitäten zuzuweisen.

Set-AzStorageSyncService -ResourceGroupName <ResourceGroupName> -Name <ManagedIdentityName> -IdentityType <IdentityType>

Wenn der neue SPN angezeigt wird, navigieren Sie zum Portal, um Rollenzuweisungen für Speicherkonten und deren Dateifreigaben zu erstellen.

Weitere Informationen zum Verwalten von Rollenzuweisungen finden Sie unter Auflisten von Azure-Rollenzuweisungen und Zuweisen von Azure-Rollen.

Autorisierung des Speicherzugriffs durch die Azure-Dateisynchronisierung

Wenn Speicherkonten in ein neues Abonnement oder innerhalb eines Abonnements in einen neuen Microsoft Entra-Mandanten verschoben werden, wird die Synchronisierung beendet. Die Autorisierung der Azure-Dateisynchronisierung zum Zugriff auf ein Speicherkonto erfolgt über die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC), und diese Rollenzuweisungen werden nicht zusammen mit den Ressourcen migriert.

Dienstprinzipal der Azure-Dateisynchronisierung

Der Dienstprinzipal der Azure-Dateisynchronisierung muss im Microsoft Entra-Mandanten vorhanden sein, bevor Sie die Synchronisierung zum Zugriff auf ein Speicherkonto autorisieren können.

Wenn Sie heute ein neues Azure-Abonnement erstellen, wird der Ressourcenanbieter Microsoft.StorageSync für die Azure-Dateisynchronisierung automatisch bei Ihrem Abonnement registriert. Durch die Registrierung des Ressourcenanbieters wird ein Dienstprinzipal für die Synchronisierung im Microsoft Entra-Mandanten verfügbar gemacht, der das Abonnement regelt. Ein Dienstprinzipal ähnelt einem Benutzerkonto in Ihrer Microsoft Entra ID-Instanz. Sie können den Dienstprinzipal der Azure-Dateisynchronisierung dazu verwenden, den Zugriff auf Ressourcen über die rollenbasierte Zugriffssteuerung (RBAC) zu autorisieren. Die einzigen Ressourcen, auf die die Synchronisierung zugreifen muss, sind Ihre Speicherkonten mit den Dateifreigaben, die synchronisiert werden sollen. Microsoft.StorageSync muss der integrierten Rolle Lese- und Datenzugriff im Speicherkonto zugewiesen sein.

Diese Zuweisung erfolgt automatisch über den Benutzerkontext der angemeldeten Benutzer*innen, wenn Sie eine Dateifreigabe einer Synchronisierungsgruppe hinzufügen, also einen Cloudendpunkt erstellen. Wenn ein Speicherkonto in ein neues Abonnement oder einen neuen Microsoft Entra-Mandanten verschoben wird, geht diese Rollenzuweisung verloren und muss manuell wiederhergestellt werden.

Wichtig

Wenn das Azure-Zielabonnement nicht erst vor Kurzem erstellt wurde, überprüfen Sie, ob der Ressourcenanbieter Microsoft.StorageSync beim Abonnement registriert ist. Fügen Sie ihn ggf. auf demselben Portalblatt hinzu.

Einrichten des Zugriffs der Synchronisierung auf ein Speicherkonto

Der Dienstprinzipal der Azure-Dateisynchronisierung muss verwendet werden, den Zugriff auf ein Speicherkonto per rollenbasierter Zugriffssteuerung zu autorisieren. Microsoft.StorageSync muss der integrierten Rolle Lese- und Datenzugriff im Speicherkonto zugewiesen sein.

Diese Zuweisung erfolgt in der Regel automatisch über den Benutzerkontext des angemeldeten Benutzers, wenn Sie eine Dateifreigabe zu einer Synchronisierungsgruppe hinzufügen, Sie also einen Cloudendpunkt erstellen. Wenn jedoch ein Speicherkonto in ein neues Abonnement oder einen neuen Microsoft Entra-Mandanten verschoben wird, geht diese Rollenzuweisung verloren und muss manuell wiederhergestellt werden.

1. Melden Sie im Azure-Portal an, und navigieren Sie zu dem Speicherkonto, für das Sie den Zugriff für die Synchronisierung erneut autorisieren müssen.
2. Wählen Sie im Inhaltsverzeichnis auf der linken Seite die Option Zugriffssteuerung (IAM) aus.
3. Wählen Sie die Registerkarte Rollenzuweisungen aus, um die Benutzer und Anwendungen (Dienstprinzipale) aufzulisten, die Zugriff auf Ihr Speicherkonto haben.
4. Wählen Sie Hinzufügen.
5. Suchen Sie auf der Registerkarte Rolle die Rolle Leser und Datenzugriff, und wählen Sie sie aus.
6. Legen Sie auf der Registerkarte Mitglieder die Option Zugewiesener Zugriff auf als Benutzer, Gruppe oder Dienstprinzipal fest, klicken Sie aufMitglieder auswählen, und geben Sie im Auswahlfeld den Wert Microsoft.StorageSync ein. Wählen Sie die Rolle und dann Speichern aus. Wenn der Dienstprinzipal Microsoft.StorageSync nicht gefunden wird, geben Sie Hybrider Dateisynchronisierungsdienst (alter Dienstprinzipalname) ein, wählen Sie die Rolle aus, und klicken Sie auf Speichern.

Verschieben in eine andere Azure-Region

Die Azure-Dateisynchronisierungsressource Storage-Synchronisierungsdienst und die Speicherkonten, die zu synchronisierende Dateifreigaben enthalten, sind in einer bestimmten Azure-Region bereitgestellt. Sie bestimmen diese Region, wenn Sie eine Ressource erstellen. Die Region der Ressourcen für Speichersynchronisierungsdiensts und Speicherkonto muss dieselbe sein. Diese Regionen können nach der Erstellung für keinen Ressourcentyp geändert werden.

Die Zuweisung einer anderen Region für eine Ressource ist nicht dasselbe wie ein Regionsfailover, das je nach Redundanzeinstellung Ihres Speicherkontos unterstützt werden kann.

Regionsfailover

Azure Files bietet Georedundanzoptionen für Speicherkonten. Diese Redundanzoptionen können Probleme für Speicherkonten darstellen, die mit Azure-Dateisynchronisierung verwendet werden. Der Hauptgrund hierfür ist, dass die Replikation zwischen geografisch entfernten Regionen nicht mittels Azure-Dateisynchronisierung durchgeführt wird, sondern mittels einer integrierten Speicherreplikationstechnik, die in das Speichersubsystem in Azure integriert ist. Diese hat keine Informationen zum Zustand einer Anwendung, und die Azure-Dateisynchronisierung ist eine Anwendung, in der zu jedem beliebigen Zeitpunkt Dateien aus und in Azure-Dateifreigaben synchronisiert werden. Wenn Sie sich für eine dieser geografisch verteilten Speicherredundanzoptionen entscheiden, verlieren Sie im Katastrophenfall nicht all Ihre Daten. Sie müssen jedoch potenzielle Datenverluste und Inkonsistenzen berücksichtigen.

Achtung

Ein Failover ist niemals ein geeigneter Ersatz für das Bereitstellen von Ressourcen in der richtigen Azure-Region. Wenn Ihre Ressourcen sich in der „falschen“ Region befinden, sollten Sie die Synchronisierung beenden und für neue Azure-Dateifreigaben einrichten, die in der gewünschten Region bereitgestellt wurden.

Ein Regionsfailover kann von Microsoft nach einem schwerwiegenden Ereignis gestartet werden, durch das Rechenzentren in einer Azure-Region über einen längeren Zeitraum hinweg nicht verfügbar sein werden. Die Definition der Downtime, die Ihr Unternehmen tolerieren kann, ist möglicherweise kürzer als die Zeit die Microsoft bereit ist, verstreichen zu lassen, bevor ein regionales Failover gestartet wird. Für solche Situationen können Failover auch durch Kund*innen initiiert werden.

Wichtig

Bei einem Failover müssen Sie ein Supportticket für Ihre betroffenen Speichersynchronisierungsdienste eröffnen, damit die Synchronisierung wieder funktioniert.

Siehe auch

• Übersicht über Migrationsleitfäden für Azure-Dateifreigaben und Synchronisierung
• Problembehandlung für die Azure-Dateisynchronisierung
• Planung für die Bereitstellung einer Azure-Dateisynchronisierung