Identitás-erőforrások áttelepítése a globális Azure-ba
Fontos
2018 augusztusa óta nem fogadunk el új ügyfeleket, és nem helyezünk üzembe új funkciókat és szolgáltatásokat a Microsoft Cloud Germany eredeti helyszínén.
Az ügyfelek igényeinek fejlődése alapján nemrégiben elindítottunk két új adatközpont-régiót Németországban, amelyek az ügyféladatok helyének, a Microsoft globális felhőhálózatához való teljes kapcsolódásnak és a piaci versenyelőnynek megfelelő díjszabást kínálnak.
Emellett 2020. szeptember 30-án bejelentettük, hogy a Microsoft Cloud Germany 2021. október 29-én bezárul. További részletek itt érhetők el: https://www.microsoft.com/cloud-platform/germany-cloud-regions.
Használja ki az új német adatközpont-régiókban elérhető funkciók, vállalati szintű biztonság és átfogó funkciók előnyeit a mai minkén .
Ez a cikk olyan információkat tartalmaz, amelyek segítségével Azure-identitás-erőforrásokat mihet át az Azure Germanyből a globális Azure-ba.
Az identitással/bérlőkkel kapcsolatos útmutatás csak Az Azure-beli ügyfelek számára elérhető. Ha gyakori Azure Active Directory- (Azure AD-) bérlőket használ az Azure-hoz és az Microsoft 365-hoz (vagy más Microsoft-termékekhez), az identitás-migrálás bonyolult, ezért a migrálási útmutató használata előtt lépjen kapcsolatba a fiókkezelővel.
Azure Active Directory
Az Azure AD az Azure Germany szolgáltatásban elkülönül az Azure AD-től a globális Azure-ban. Jelenleg nem lehet áthelyezni az Azure AD-felhasználókat az Azure Germany szolgáltatásból a globális Azure-ba.
Az Azure Germany és a globális Azure alapértelmezett bérlői nevei mindig eltérőek, mert az Azure automatikusan hozzáfűz egy utótagot a környezet alapján. A contoso bérlő globális Azure-beli tagnevének felhasználóneve például .user1@contoso.microsoftazure.com Az Azure Germany esetében ez user1@contoso.microsoftazure.dea következő: .
Ha egyéni tartományneveket (például contoso.com) használ az Azure AD-ban, regisztrálnia kell a tartománynevet az Azure-ban. Az egyéni tartománynevek egyszerre csak egy felhőalapú környezetben definiálhatóak. A tartomány érvényesítése meghiúsul, ha a tartomány már regisztrálva van a Azure Active Directory. Például az user1@contoso.com Azure Germany-beli felhasználó nem létezhet egyszerre a globális Azure-ban ugyanazon a néven. Az ilyen contoso.com sikertelen lesz.
A "soft" áttelepítéshez, amelyben egyes felhasználók már az új környezetben vannak, egyes felhasználók pedig még mindig a régi környezetben vannak, eltérő bejelentkezési neveket kell a különböző felhőalapú környezetekhez.
Ebben a cikkben nem fedjük le az egyes lehetséges migrálási forgatókönyveket. A javaslatok függnek például a felhasználók létesítésétől, a különböző felhasználónevek vagy UserPrincipalNames használatának lehetőségeitől és egyéb függőségeitől. Összeállítottunk azonban néhány tippet, amelyek segítenek az aktuális környezetében lévő felhasználók és csoportok leltározásában.
Az Azure AD-hez kapcsolódó összes parancsmag listájának lekért listájához futtassa a következőt:
Get-Help Get-AzureAD*
Leltárfelhasználók
Az Azure AD-példányban található összes felhasználó és csoport áttekintéséhez:
Get-AzureADUser -All $true
Ha csak az engedélyezett fiókokat szeretne listába sorolni, adja hozzá a következő szűrőt:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}
Az összes attribútum teljes kiírása arra az esetre, ha elfelejt valamit:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *
A felhasználók újra létrehozásához szükséges attribútumok kiválasztása:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname
A lista exportálásához Excel a lista végén található Export-Csv parancsmagot. A teljes exportálás a következő példához hasonló lehet:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8
Megjegyzés
Jelszavakat nem lehet átemelni. Ehelyett új jelszavakat kell hozzárendelnie, vagy a forgatókönyvtől függően önkiszolgáló mechanizmust kell használnia.
Emellett a környezettől függően előfordulhat, hogy más adatokat is be kell gyűjtenie, például a Bővítmények, a DirectReport vagy a LicenseDetail értékeit.
Szükség szerint formázza a CSV-fájlt. Ezután kövesse az Adatok importálása CSV-fájlból lépéseit a felhasználók új környezetben való újra létrehozásához.
Leltárcsoportok
Csoporttagság dokumentálása:
Get-AzureADGroup
Az egyes csoportok tagjainak listájának lekért listája:
Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}
Leltárszolgáltatás-szolgáltatások és -alkalmazások
Bár az összes szolgáltatásnév és alkalmazás újra létre kell hoznia, a szolgáltatásnév és az alkalmazások állapotát is dokumentálni kell. A következő parancsmagokkal részletes listát kaphat az összes szolgáltatásnévről:
Get-AzureADServicePrincipal |Format-List *
Get-AzureADApplication |Format-List *
További információhoz más Get-AzureADServicePrincipal*
, vagy kezdetú parancsmagokat is használ Get-AzureADApplication*
.
Leltárkönyvtár-szerepkörök
Az aktuális szerepkör-hozzárendelés dokumentálása:
Get-AzureADDirectoryRole
Az egyes szerepkörekkel a szerepkörhöz társított felhasználókat vagy alkalmazásokat találhatja meg:
Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}
További információk:
- Ismerje meg a hibrid identitásmegoldásokat.
- Olvassa el Az Azure AD Csatlakozás használata több felhővel blogbejegyzést, amelyből megtudhatja, hogyan szinkronizálhat különböző felhőkörnyezetekkel.
- További információ a Azure Active Directory.
- További információ az egyéni tartománynevekről.
- Megtudhatja, hogyan importálhat adatokat CSV-fájlból az Azure AD-be.
Azure AD Connect
Az Azure AD Csatlakozás egy olyan eszköz, amely szinkronizálja az identitásadatokat egy helyi Active Directory-példány és Azure Active Directory (Azure AD) között. Az Azure AD-Csatlakozás az Azure Germany és a globális Azure esetében egyaránt működik. Az Azure AD Csatlakozás egyszerre csak egy Azure AD-példányra szinkronizálhat. Ha egyszerre szeretne szinkronizálni az Azure Germanygel és a globális Azure-ral, vegye figyelembe a következő lehetőségeket:
- Használjon egy további kiszolgálót az Azure AD-kiszolgáló egy második Csatlakozás. Egy kiszolgálón nem lehet több Azure AD-Csatlakozás példánya.
- Új bejelentkezési név megadása a felhasználók számára. A bejelentkezési név tartományrészének (utána @) minden környezetben eltérőnek kell lennie.
- Definiáljon egyértelmű "igazságforrást", ha visszafelé is szinkronizál (az Azure AD-ről a helyi Active Directory).
Ha már azure AD-Csatlakozás az Azure Germany szolgáltatásba és onnan más szolgáltatásokba való szinkronizáláshoz, győződjön meg arról, hogy manuálisan létrehozott felhasználókat milegált. A következő PowerShell-parancsmag felsorolja az összes felhasználót, aki nincs szinkronizálva az Azure AD Csatlakozás:
Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}
További információk:
- További információ az Azure AD-Csatlakozás.
Többtényezős hitelesítés
Újra létre kell hoznia a felhasználókat, és újra kelldefiniálni az Azure AD Multi-Factor Authentication-példányt az új környezetben.
Azon felhasználói fiókok listájának lekérte, amelyekhez engedélyezve van vagy kényszerítve van a többtényezős hitelesítés:
- Jelentkezzen be az Azure Portalra.
- Válassza a FelhasználókMinden>felhasználóMulti-Factor> Authentication lehetőséget.
- Amikor a rendszer átirányítja a többtényezős hitelesítési szolgáltatás oldalára, állítsa be a megfelelő szűrőket a felhasználók listájának lekértéhez.
További információk:
- További információ az Azure AD Multi-Factor Authenticationről.
Következő lépések
Megismeri a következő szolgáltatási kategóriákba tartozó erőforrások áttelepítésére vonatkozó eszközöket, technikákat és javaslatokat: