Azure-előfizetés átvitele egy másik Microsoft Entra könyvtárba

A szervezetek több Azure-előfizetéssel is rendelkezhetnek. Minden előfizetés egy adott Microsoft Entra könyvtárhoz kapcsolódik. A könnyebb kezelés érdekében érdemes lehet egy előfizetést egy másik Microsoft Entra könyvtárba áthelyezni. Ha egy előfizetést egy másik Microsoft Entra-címtárba helyez át, egyes erőforrások nem kerülnek át a célkönyvtárba. Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) szerepkör-hozzárendelései és egyéni szerepkörei például véglegesen törlődnek a forráskönyvtárból, és nem kerülnek át a célkönyvtárba.

Ez a cikk azokat az alapvető lépéseket ismerteti, amelyek segítségével átviheti az előfizetést egy másik Microsoft Entra-címtárba, és újra létrehozhat néhány erőforrást az átvitel után.

Feljegyzés

Azure Cloud Solution Providers (CSP) előfizetések esetében az előfizetéshez tartozó Microsoft Entra könyvtár módosítása nem támogatott.

Áttekintés

Egy Azure-előfizetés átvitele egy másik Microsoft Entra könyvtárba összetett folyamat, amelyet gondosan meg kell tervezni és végre kell hajtani. Számos Azure-szolgáltatás normál működéséhez vagy akár a többi Azure-erőforrás kezeléséhez rendszerbiztonsági tagokra (identitásokra) van szükség. Ez a cikk a biztonsági tagoktól nagymértékben függő Azure-szolgáltatások többségét próbálja lefedni, de nem átfogó.

Fontos

Bizonyos esetekben az előfizetés áthelyezése állásidőt igényelhet. Gondos tervezés szükséges annak kiértékeléséhez, hogy szükség lesz-e állásidőre az áthelyezéshez.

Az alábbi ábra azokat az alapvető lépéseket mutatja be, amelyeket követnie kell, amikor egy előfizetést egy másik könyvtárba áthelyez.

1. Felkészülés az átadásra

2. Az Azure-előfizetés áthelyezése egy másik címtárba

3. Erőforrások, például szerepkör-hozzárendelések, egyéni szerepkörök és felügyelt identitások újbóli létrehozása a célcímtárban

   

Annak eldöntése, hogy át szeretne-e adni egy előfizetést egy másik könyvtárba

Az alábbiakban néhány oka lehet annak, hogy érdemes átvinni egy előfizetést:

• Cégegyesítés vagy felvásárlás miatt egy felvásárolt előfizetést az elsődleges Microsoft Entra könyvtárban szeretne kezelni.
• Valaki a szervezetében létrehozott egy előfizetést, és Ön egy adott Microsoft Entra könyvtárra szeretné összevonni a kezelést.
• Vannak olyan alkalmazásai, amelyek egy adott előfizetés-azonosítótól vagy URL-címtől függenek, és nem könnyű módosítani az alkalmazás konfigurációját vagy kódját.
• Vállalkozásának egy része külön cégre vált szét, és erőforrásainak egy részét egy másik Microsoft Entra könyvtárba kell áthelyeznie.
• Az erőforrások egy részét egy másik Microsoft Entra könyvtárban szeretné kezelni a biztonsági elszigetelés érdekében.

Alternatív megközelítések

Ahhoz, hogy az előfizetés átvitele megtörténjen, elkerülhetetlen a folyamat leállítása. A forgatókönyvtől függően a következő alternatív módszereket is figyelembe veheti:

• Hozza létre újra az erőforrásokat, és másolja az adatokat a célkönyvtárba és az előfizetésbe.
• Fogadjon el egy többkönyvtáros architektúrát, és hagyja meg az előfizetést a forráskönyvtárban. Az Azure Lighthouse használatával delegálhat erőforrásokat, hogy a célkönyvtárban lévő felhasználók hozzáférhessenek az előfizetéshez a forráskönyvtárban. További információ: Azure Lighthouse vállalati forgatókönyvekben.

Előfizetés-átvitelek letiltása

A szervezettől függően érdemes lehet letiltani az előfizetések átvitelét a szervezet különböző könyvtáraiba. Ha ehelyett le szeretné tiltani az előfizetések átvitelét, konfigurálhat egy előfizetési szabályzatot. További információkért lásd: Azure-előfizetési szabályzatok kezelése.

Az előfizetések átvitelével járó hatások megismerése

Számos Azure-erőforrás függőséget mutat egy előfizetéshez vagy egy címtárhoz. A helyzettől függően az alábbi táblázat az előfizetés átvitelének ismert hatását sorolja fel. A cikkben ismertetett lépések végrehajtásával újra létrehozhat néhány olyan erőforrást, amely az előfizetés átvitele előtt létezett.

Fontos

Ez a szakasz az előfizetésétől függő ismert Azure-szolgáltatásokat vagy erőforrásokat sorolja fel. Mivel az Azure-beli erőforrástípusok folyamatosan fejlődnek, előfordulhat, hogy további függőségek nem szerepelnek itt, amelyek a környezet nem várt változását okozhatják.

Szolgáltatás vagy erőforrás	Érintett	Visszaszerezhető	Érintett vagy?	Mit lehet tenni
Szerepkör-hozzárendelések	Igen	Igen	Szerepkör-hozzárendelések listázása	Az összes szerepkör-hozzárendelés véglegesen törlődik. A felhasználókat, csoportokat és szolgáltatási főazonosítókat a célkönyvtár megfelelő objektumaihoz kell képeznie. Újra létre kell hoznia a szerepkör-hozzárendeléseket.
Egyéni szerepkörök	Igen	Igen	Egyéni szerepkörök listázása	Az összes egyéni szerepkör véglegesen törlődik. Újra létre kell hoznia az egyéni szerepköröket és a szerepkör-hozzárendeléseket.
Rendszer által hozzárendelt felügyelt identitás	Igen	Igen	Felügyelt identitások listázása	Le kell tiltania és újra engedélyeznie kell a felügyelt identitásokat. Újra létre kell hoznia a szerepkör-hozzárendeléseket.
Felhasználó által hozzárendelt felügyelt identitás	Igen	Igen	Felügyelt identitások listázása	Törölnie kell, újra létre kell hoznia, és csatolnia kell a felügyelt identitásokat a megfelelő erőforráshoz. Újra létre kell hoznia a szerepkör-hozzárendeléseket.
Azure Key Vault	Igen	Igen	Key Vault hozzáférési szabályzatok listázása	Frissítenie kell a kulcstartókhoz társított bérlőazonosítót. El kell távolítania és új hozzáférési szabályzatokat kell hozzáadnia.
Engedélyezett Microsoft Entra hitelesítési integrációval rendelkező Azure SQL-adatbázisok	Igen	Nem	Azure SQL-adatbázisok ellenőrzése Microsoft Entra-hitelesítéssel	Az Azure SQL-adatbázis nem továbbítható egy másik könyvtárba engedélyezett Microsoft Entra-hitelesítéssel. További információkért lásd: Microsoft Entra-hitelesítés használata.
Azure Database for MySQL a Microsoft Entra hitelesítési integrációval engedélyezve	Igen	Nem		A MySQL-hez készült Azure-adatbázis (önálló és rugalmas kiszolgáló) nem továbbítható olyan Microsoft Entra-hitelesítéssel, amely engedélyezve van egy másik könyvtárba.
Azure Database for PostgreSQL rugalmas kiszolgáló, amelyen engedélyezve van a Microsoft Entra hitelesítési integráció, vagy az ügyfél által kezelt kulcs engedélyezve van.	Igen	Nem		Az Azure Database for PostgreSQL nem továbbítható Microsoft Entra-hitelesítéssel vagy ügyfél által felügyelt kulccsal egy másik könyvtárba. Először le kell tiltania ezeket a funkciókat, át kell vinnie a kiszolgálót, majd újra engedélyeznie kell ezeket a funkciókat.
Azure Storage és Azure Data Lake Storage Gen2	Igen	Igen		Minden ACL-t újra létre kell hoznia.
Azure Files	Igen	A legtöbb forgatókönyvben		Minden ACL-t újra létre kell hoznia. A Microsoft Entra Kerberos-hitelesítést engedélyező tárfiókok esetében az átvitel után le kell tiltania és újra engedélyeznie kell a Microsoft Entra Kerberos-hitelesítést. A Microsoft Entra Domain Services esetében nem támogatott egy másik Microsoft Entra-címtárba való átvitel, ahol a Microsoft Entra Domain Services nincs engedélyezve.
Azure File Sync	Igen	Igen		A társzinkronizálási szolgáltatás és/vagy tárfiók áthelyezhető egy másik könyvtárba. További információ: Gyakori kérdések (GYIK) az Azure Filesról
Azure Managed Disks	Igen	Igen		Ha lemeztitkosítási csoportokat használ a felügyelt lemezek ügyfél által felügyelt kulcsokkal való titkosításához, le kell tiltania és újra engedélyeznie kell a lemeztitkosítási csoportokhoz társított rendszer által hozzárendelt identitásokat. Újra létre kell hoznia a szerepkör-hozzárendeléseket, hogy ismét megadja a szükséges engedélyeket a lemeztitkosítási készletekhez a Kulcstartókban.
Azure Kubernetes Service	Igen	Nem		Az AKS-fürt és a hozzá tartozó erőforrások nem ruházhatók át másik könyvtárba. További információ: Az Azure Kubernetes Service (AKS) szolgáltatással kapcsolatos gyakori kérdések
Azure Policy	Igen	Nem	Minden Azure Policy-objektum, beleértve az egyéni definíciókat, hozzárendeléseket, kivételeket és megfelelőségi adatokat.	Definíciókat kell exportálnia, importálnia és újra hozzárendelnie. Ezután hozzon létre új szabályzat-hozzárendeléseket és a szükséges házirend-kivételeket.
Microsoft Entra tartományi szolgáltatások	Igen	Nem		A Microsoft Entra Domain Services által felügyelt tartomány nem ruházható át másik könyvtárba. További információ: A Microsoft Entra Domain Services szolgáltatással kapcsolatos gyakori kérdések (GYIK)
Alkalmazásregisztrációk	Igen	Igen
Entra ID hozzáférési felülvizsgálatok	Igen	Nem
Microsoft Dev Box	Igen	Nem		A fejlesztői mező és a hozzá tartozó erőforrások nem ruházhatók át egy másik könyvtárba. Ha egy előfizetés egy másik bérlőre kerül, nem fog tudni semmilyen műveletet végrehajtani a fejlesztői mezőben
Azure Deployment Environments	Igen	Nem		A környezet és a hozzá tartozó erőforrások nem ruházhatók át másik könyvtárba. Ha egy előfizetés másik bérlőhöz kerül, nem hajthat végre semmilyen műveletet az ön környezetében.
Azure Service Fabric	Igen	Nem		Újra létre kell hoznia a klasztert. További információ: SF-fürtök – gyakori kérdések vagy SF által felügyelt fürtök – gyakori kérdések
Azure Service Bus	Igen	Igen		Törölnie kell, újra létre kell hoznia, és csatolnia kell a felügyelt identitásokat a megfelelő erőforráshoz. Újra létre kell hoznia a szerepkör-hozzárendeléseket.
Azure Synapse Analytics-munkaterület	Igen	Igen		Frissítenie kell a Synapse Analytics-munkaterülethez társított bérlőazonosítót. Ha a munkaterület egy Git-adattárhoz van társítva, frissítenie kell a munkaterület Git-konfigurációját. További információ: Synapse Analytics-munkaterület helyreállítása az előfizetés másik Microsoft Entra-címtárba (bérlőbe) való átvitele után.
Azure Databricks	Igen	Nem		Az Azure Databricks jelenleg nem támogatja a munkaterületek új bérlőre való áthelyezését. További információ: Azure Databricks-fiók kezelése.
Azure Compute Gallery	Igen	Igen		Replikálja a katalógus képverzióit más régiókba, vagy másoljon egy képet egy másik gyűjteményből.
Azure-erőforrás-zárolások	Igen	Igen	Erőforrás-zárolások listázása	Azure-erőforrás-zárolások manuális exportálása az Azure Portal vagy az Azure CLI használatával.

Figyelmeztetés

Ha inaktív állapotban lévő titkosítást használ egy olyan erőforráshoz, például egy tárfiókhoz vagy SQL-adatbázishoz, amely egy átvitt kulcstartótól függ, az helyreállíthatatlan forgatókönyvet eredményezhet. Ha ilyen helyzet áll fenn, lépéseket kell tennie egy másik kulcstartó használatára, vagy ideiglenesen le kell tiltania az ügyfél által kezelt kulcsokat a helyreállíthatatlan forgatókönyv elkerülése érdekében.

Az előfizetés átvitele során érintett Azure-erőforrások listájának lekéréséhez lekérdezést is futtathat az Azure Resource Graph-ban. Egy minta lekérdezéshez tekintse meg az Azure-előfizetések átvitele során érintett erőforrások listáját.

Előfeltételek

Az alábbi lépések végrehajtásához a következőkre lesz szüksége:

• Bash az Azure Cloud Shell-ben vagy Azure CLI
• Az átvinni kívánt előfizetés számlázási fióktulajdonosa a forráskönyvtárban
• A forráskönyvtárban előfizetés tulajdonosi szerepkörrel kell rendelkeznie.
• A tulajdonosi szerepkört közvetlenül ki kell osztani feltételek, csoporthozzárendelés vagy privileged Identity Management (PIM) nélkül.
• A címtárat módosító felhasználó forrás- és célkönyvtárában található felhasználói fiók

1. lépés: Felkészülés az átvitelre

Bejelentkezés a forráskönyvtárba

1. Jelentkezzen be rendszergazdaként az Azure-ba.

2. Kérje le az előfizetések listáját az az account list paranccsal.

   az account list --output table
   

3. Használja az account set parancsot az aktív átvinni kívánt előfizetés beállításához.

   az account set --subscription "Marketing"
   

Az Azure Resource Graph bővítmény telepítése

Az Azure Resource Graphhoz tartozó Azure CLI-bővítmény, azaz a resource-graph, lehetővé teszi, hogy az az graph paranccsal lekérdezhesse az Azure Resource Manager által kezelt erőforrásokat. Ezt a parancsot a későbbi lépésekben fogja használni.

1. Használja az extension list parancsot annak ellenőrzésére, hogy telepítve van-e a resource-graph bővítmény.

   az extension list
   

2. Ha az erőforrás-gráf bővítmény előzetes verzióját vagy egy régebbi verzióját használja, a az extension update paranccsal frissítse a bővítményt.

   az extension update --name resource-graph
   

3. Ha az erőforrás-gráf bővítmény nincs telepítve, az az extension add parancs használatával telepítse.

   az extension add --name resource-graph
   

Az összes szerepkör-hozzárendelés mentése

1. A role assignment list használatával listázhatja az összes szerepkör-hozzárendelést (beleértve az örökölt szerepkör-hozzárendeléseket is).

   A lista áttekinthetőbbé tétele érdekében exportálhatja a kimenetet JSON, TSV vagy táblaként. További információ: Szerepkör-hozzárendelések listázása az Azure RBAC és az Azure CLI használatával.

   az role assignment list --all --include-inherited --output json > roleassignments.json
   az role assignment list --all --include-inherited --output tsv > roleassignments.tsv
   az role assignment list --all --include-inherited --output table > roleassignments.txt
   

2. Mentse a szerepkör-hozzárendelések listáját.

   Előfizetés átvitelekor az összes szerepkör-hozzárendelés véglegesen törlődik, ezért fontos a másolat mentése.

3. Tekintse át a szerepkör-hozzárendelések listáját. Előfordulhatnak olyan szerepkör-hozzárendelések, amelyekre nem lesz szüksége a célkönyvtárban.

Egyéni szerepkörök mentése

1. A szerepkör-meghatározási lista használatával listázhatja az egyéni szerepköröket. További információ: Egyéni Azure-szerepkörök létrehozása vagy frissítése az Azure CLI használatával.

   az role definition list --custom-role-only true --output json --query '[].{roleName:roleName, roleType:roleType}'
   

2. Mentse a célkönyvtárban szükséges egyéni szerepköröket külön JSON-fájlként.

   az role definition list --name <custom_role_name> > customrolename.json
   

3. Készítsen másolatot az egyéni szerepkörfájlokról.

4. Módosítsa az egyes másolatokat a következő formátum használatára.

   Ezeket a fájlokat később a célkönyvtárban lévő egyéni szerepkörök újbóli létrehozásához fogja használni.

   {
     "Name": "",
     "Description": "",
     "Actions": [],
     "NotActions": [],
     "DataActions": [],
     "NotDataActions": [],
     "AssignableScopes": []
   }
   

Felhasználó-, csoport- és szolgáltatási főszereplő-leképezések meghatározása

1. A szerepkör-hozzárendelések listája alapján határozza meg a célkönyvtárban leképezendő felhasználókat, csoportokat és szolgáltatásneveket.

   A fő típusa az egyes szerepkör-hozzárendelések principalType tulajdonságának megtekintésével azonosítható.

2. Szükség esetén a célkönyvtárban hozzon létre minden szükséges felhasználót, csoportot vagy szolgáltatásnevet.

Felügyelt identitások szerepkör-hozzárendeléseinek listázása

A felügyelt identitások nem frissülnek, amikor egy előfizetést átvisznek egy másik könyvtárba. Ennek eredményeként minden, rendszer által hozzárendelt vagy felhasználó által hozzárendelt felügyelt identitás hibás állapotba kerül. Az átvitel után újra engedélyezheti a rendszer által hozzárendelt felügyelt identitásokat. A felhasználó által hozzárendelt felügyelt identitások esetében újra létre kell hoznia és csatolnia kell őket a célkönyvtárban.

1. Tekintse át a felügyelt identitásokat támogató Azure-szolgáltatások listáját, és jegyezze fel, hogy hol használhat felügyelt identitásokat.

2. Az az ad sp listával listázhatja a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitásokat.

   az ad sp list --all --filter "servicePrincipalType eq 'ManagedIdentity'"
   

3. A felügyelt identitások listájában határozza meg, hogy mely rendszerek vannak hozzárendelve, és melyek a felhasználó által hozzárendeltek. A típus meghatározásához az alábbi feltételek használhatók.

   Feltételek	Felügyelt identitás típusa
   alternativeNames tulajdonság magában foglalja isExplicit=False	Rendszer által hozzárendelt
   alternativeNames tulajdonság nem tartalmazza isExplicit	Rendszer által hozzárendelt
   alternativeNames tulajdonság magában foglalja isExplicit=True	Felhasználó által hozzárendelt

   Az az identity listával egyszerűen listázhatja a felhasználó által hozzárendelt felügyelt identitásokat. További információ: Felhasználó által hozzárendelt felügyelt identitás létrehozása, listázása vagy törlése az Azure CLI használatával.

   az identity list
   

4. Lekérheti a objectId felügyelt identitások értékeinek listáját.

5. Keressen rá a szerepkör-hozzárendelések listájára, és ellenőrizze, hogy vannak-e szerepkör-hozzárendelések a felügyelt identitásokhoz.

Kulcstartók listázása

Kulcstár létrehozásakor az alapértelmezett Microsoft Entra bérlőazonosítóhoz van kötve automatikusan az ahhoz az előfizetéshez, amelyben létrejön. A hozzáférési szabályzatok minden bejegyzése is ehhez a bérlőazonosítóhoz kapcsolódik. További információ: Azure Key Vault áthelyezése másik előfizetésbe.

Figyelmeztetés

Ha inaktív titkosítást használ egy olyan erőforráshoz, például egy tárfiókhoz vagy SQL-adatbázishoz, amely egy átvitt kulcstartótól függ, az helyreállíthatatlan forgatókönyvhöz vezethet. Ha ilyen helyzet áll fenn, lépéseket kell tennie egy másik kulcstartó használatára, vagy ideiglenesen le kell tiltania az ügyfél által kezelt kulcsokat a helyreállíthatatlan forgatókönyv elkerülése érdekében.

• Ha rendelkezik kulcstartóval, az az keyvault show használatával listázhatja a hozzáférési szabályzatokat. További információ: Key Vault hozzáférési szabályzat hozzárendelése.

  az keyvault show --name MyKeyVault
  

Azure SQL-adatbázisok listázása Microsoft Entra-hitelesítéssel

• Az sql server ad-admin listával és az az graph kiterjesztéssel ellenőrizheti, hogy az Azure SQL-adatbázisokat engedélyezve van-e a Microsoft Entra hitelesítési integrációja. További információ: Microsoft Entra-hitelesítés konfigurálása és kezelése AZ SQL használatával.

  az sql server ad-admin list --ids $(az graph query -q "resources | where type == 'microsoft.sql/servers' | project id" --query data[*].[id] -o tsv)
  

ACL-ek listázása

1. Ha Az Azure Data Lake Storage Gen2-t használja, az Azure Portal vagy a PowerShell használatával listázhatja a fájlokra alkalmazott ACL-eket.

2. Ha Azure Filest használ, listázhatja a fájlra alkalmazott ACL-eket.

Egyéb ismert erőforrások listázása

1. Az az account show parancs használatával szerezze be az előfizetés azonosítóját (a következőben: bash).

   subscriptionId=$(az account show --output tsv --query id)
   

2. A graph bővítmény használatával listázhat más Azure-erőforrásokat ismert Microsoft Entra-címtárfüggőségekkel (in bash).

   az graph query -q 'resources 
       | where type != "microsoft.azureactivedirectory/b2cdirectories" 
       | where  identity <> "" or properties.tenantId <> "" or properties.encryptionSettingsCollection.enabled == true 
       | project name, type, kind, identity, tenantId, properties.tenantId' --subscriptions $subscriptionId --output yaml
   

2. lépés: Az előfizetés átadása

Ebben a lépésben az előfizetést a forráskönyvtárból a célkönyvtárba továbbítja. A lépések eltérőek lesznek attól függően, hogy a számlázási tulajdonjogot is át szeretné-e adni.

Figyelmeztetés

Az előfizetés átvitelekor a forráskönyvtárban lévő szerepkör-hozzárendelések véglegesen törlődnek, és nem állíthatók vissza. Az előfizetés áthelyezését nem lehet visszavonni. A lépés végrehajtása előtt mindenképpen végezze el az előző lépéseket.

1. Döntse el, hogy a számlázási tulajdonjogot is át szeretné-e ruházni egy másik fiókra.

2. Helyezze át az előfizetést egy másik címtárba.

   • Ha szeretné megtartani a jelenlegi számlázási tulajdonjogot, kövesse a Társítás című webhelyen található lépéseket, vagy adjon hozzá egy Azure-előfizetést a Microsoft Entra bérlőjéhez.
   • Ha szeretné átadni a számlázási tulajdonjogot is, kövesse az Azure-előfizetés számlázási tulajdonjogának másik fiók számára történő átadását ismertető szakaszban leírt lépéseket. Az előfizetés másik könyvtárba történő átviteléhez be kell jelölnie a Subscription Microsoft Entra tenant jelölőnégyzetet.

3. Miután befejezte az előfizetés átvitelét, térjen vissza ehhez a cikkhez, és hozza létre újra az erőforrásokat a célkönyvtárban.

3. lépés: Erőforrások újbóli létrehozása

Bejelentkezés a célkönyvtárba

1. A célkönyvtárban jelentkezzen be az átviteli kérelmet elfogadó felhasználóként.

   Csak az új fiók azon felhasználója rendelkezik hozzáféréssel az erőforrások kezeléséhez, aki elfogadta az átadási kérelmet.

2. Kérje le az előfizetések listáját az az account list paranccsal.

   az account list --output table
   

3. Használja az az account set parancsot a használni kívánt aktív előfizetés beállításához.

   az account set --subscription "Contoso"
   

Egyéni szerepkörök létrehozása

• Az role definition create parancs használatával minden egyéni szerepkört létrehozhat a korábban létrehozott fájlokból. További információ: Egyéni Azure-szerepkörök létrehozása vagy frissítése az Azure CLI használatával.

  az role definition create --role-definition <role_definition>
  

Szerepkörök hozzárendelése

• A(z) az role assignment create parancs használatával szerepköröket rendelhet felhasználókhoz, csoportokhoz és szolgáltatási főidentitásokhoz. További információ: Azure-szerepkörök hozzárendelése az Azure CLI-vel.

  az role assignment create --role <role_name_or_id> --assignee <assignee> --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
  

Rendszer által hozzárendelt felügyelt identitások frissítése

1. Tiltsa le és engedélyezze újra a rendszer által hozzárendelt felügyelt identitásokat.

   Azure-szolgáltatás	További információ
   Virtual machines (Virtuális gépek)	Felügyelt identitások konfigurálása Azure-erőforrásokhoz azure-beli virtuális gépen az Azure CLI használatával
   Virtuális gép méretezési csoportok	Felügyelt identitások konfigurálása az Azure-erőforrásokhoz egy virtuális gépek méretezési csoportján az Azure CLI segítségével
   Egyéb szolgáltatások	Azure-erőforrások felügyelt identitását támogató szolgáltatások

2. Használja a role assignment create parancsot a rendszer által hozzárendelt felügyelt identitások szerepköreinek hozzárendeléséhez. További információ: Felügyelt identitáshozzáférés hozzárendelése egy erőforráshoz az Azure CLI használatával.

   az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
   

Felhasználó által hozzárendelt felügyelt identitások frissítése

1. Felhasználó által hozzárendelt felügyelt identitások törlése, újbóli létrehozása és csatolása.

   Azure-szolgáltatás	További információ
   Virtual machines (Virtuális gépek)	Felügyelt identitások konfigurálása Azure-erőforrásokhoz azure-beli virtuális gépen az Azure CLI használatával
   Virtuális gép méretezési csoportok	Felügyelt identitások konfigurálása az Azure-erőforrásokhoz egy virtuális gépek méretezési csoportján az Azure CLI segítségével
   Egyéb szolgáltatások	Azure-erőforrások felügyelt identitását támogató szolgáltatások Felhasználó által hozzárendelt felügyelt identitás létrehozása, listázása vagy törlése az Azure CLI használatával

2. Használja a az role assignment create parancsot a szerepkörök hozzárendeléséhez a felhasználó által hozzárendelt felügyelt identitásokhoz. További információ: Felügyelt identitáshozzáférés hozzárendelése egy erőforráshoz az Azure CLI használatával.

   az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
   

Kulcstárak frissítése

Ez a szakasz a kulcstartók frissítésének alapvető lépéseit ismerteti. További információ: Azure Key Vault áthelyezése másik előfizetésbe.

1. Frissítse az előfizetés összes meglévő kulcstárához társított bérlőazonosítót a célkönyvtárra.

2. Törölnie kell minden meglévő hozzáférésiszabályzat-bejegyzést.

3. Adjon hozzá új, a célkönyvtárhoz társított hozzáférési házirend-bejegyzéseket.

ACL-ek frissítése

1. Ha az Azure Data Lake Storage Gen2-t használja, rendelje hozzá a megfelelő ACL-eket. További információért lásd: Hozzáférés-vezérlés az Azure Data Lake Storage Gen2-ben.

2. Ha Azure Filest használ, rendelje hozzá a megfelelő ACL-eket.

Egyéb biztonsági módszerek áttekintése

Annak ellenére, hogy a szerepkör-hozzárendelések eltávolításra kerülnek az átvitel során, az eredeti tulajdonosi fiók felhasználói továbbra is hozzáférhetnek az előfizetéshez más biztonsági módszerekkel, például:

• A Storage-hoz hasonló szolgáltatások hozzáférési kulcsai.
• Olyan felügyeleti tanúsítványok , amelyek hozzáférést biztosítanak a felhasználó rendszergazdájának az előfizetési erőforrásokhoz.
• Az olyan szolgáltatások távelérési hitelesítő adatai, mint az Azure-beli virtuális gépek.

Ha az a szándéka, hogy eltávolítsa a hozzáférést a forráskönyvtárban lévő felhasználóktól, hogy ne rendelkezzenek hozzáféréssel a célkönyvtárban, fontolja meg a hitelesítő adatok elforgatását. A hitelesítő adatok frissítéséig a felhasználók továbbra is hozzáférhetnek az átvitel után.

1. Tárfiók hozzáférési kulcsának elforgatása. További információ: Tárfiók hozzáférési kulcsainak kezelése.

2. Ha más szolgáltatásokhoz, például az Azure SQL Database-hez vagy az Azure Service Bus-üzenetkezeléshez használ hozzáférési kulcsokat, forgassa el a hozzáférési kulcsokat.

3. Titkos kulcsokat használó erőforrások esetén nyissa meg az erőforrás beállításait, és frissítse a titkos kulcsot.

4. A tanúsítványt használó erőforrások esetében frissítse a tanúsítványt.

Következő lépések

• Azure-előfizetés számlázási tulajdonjogának átadása másik fióknak
• Azure-előfizetések átvitele az előfizetők és a CSP-k között
• Azure-előfizetés hozzáadása vagy társítása az Ön Microsoft Entra bérlőjéhöz
• Azure Lighthouse vállalati forgatókönyvekben