Condividi tramite

Eseguire la migrazione delle risorse di identità in Azure globale

  • Articolo

Importante

Da agosto 2018 non sono stati accettati nuovi clienti o non sono state distribuite nuove funzionalità e servizi nelle sedi Microsoft Cloud Germania originali.

In base all'evoluzione delle esigenze dei clienti, di recente sono state avviate due nuove aree del data center in Germania, che offrono la residenza dei dati dei clienti, la connettività completa alla rete cloud globale di Microsoft e i prezzi competitivi sul mercato.

Inoltre, il 30 settembre 2020 è stato annunciato che Microsoft Cloud Germania verrà chiuso il 29 ottobre 2021. Altri dettagli sono disponibili qui: https://www.microsoft.com/cloud-platform/germany-cloud-regions.

È possibile sfruttare l'ampia gamma di funzionalità, la sicurezza di livello aziendale e le funzionalità complete disponibili nelle nuove aree dei data center in Germania eseguendo la migrazione oggi stesso.

Questo articolo contiene informazioni che consentono di eseguire la migrazione delle risorse di identità di Azure Azure Germania azure globale.

Le linee guida relative all'identità e ai tenant sono destinate solo ai clienti di Azure. Se si usano tenant di Azure Active Directory (Azure AD) comuni per Azure e Microsoft 365 (o altri prodotti Microsoft), esistono complessità nella migrazione delle identità ed è prima necessario contattare l'Account Manager prima di usare queste linee guida per la migrazione.

Azure Active Directory

Azure AD in Azure Germania è separato dal Azure AD in Azure globale. Attualmente, non è possibile spostare Azure AD utenti da Azure Germania a Azure globale.

I nomi dei tenant predefiniti Azure Germania azure globale sono sempre diversi perché Azure aggiunge automaticamente un suffisso in base all'ambiente. Ad esempio, un nome utente per un membro del tenant contoso in Azure globale è user1@contoso.microsoftazure.com. In Azure Germania, è user1@contoso.microsoftazure.de.

Quando si usano nomi di dominio personalizzati (ad esempio contoso.com) in Azure AD, è necessario registrare il nome di dominio in Azure. I nomi di dominio personalizzati possono essere definiti in un solo ambiente cloud alla volta. La convalida del dominio ha esito negativo quando il dominio è già registrato in qualsiasi istanza di Azure Active Directory. Ad esempio, l'utente user1@contoso.com presente in Azure Germania non può esistere contemporaneamente anche in Azure globale con lo stesso nome. La registrazione per contoso.com avrà esito negativo.

Una migrazione "soft" in cui alcuni utenti sono già nel nuovo ambiente e alcuni utenti sono ancora nell'ambiente precedente richiede nomi di accesso diversi per i diversi ambienti cloud.

In questo articolo non viene descritto ogni possibile scenario di migrazione. Una raccomandazione dipende, ad esempio, dalla modalità di provisioning degli utenti, dalle opzioni disponibili per l'uso di nomi utente o UserPrincipalName diversi e da altre dipendenze. Tuttavia, sono stati compilati alcuni suggerimenti che consentono di eseguire l'inventario di utenti e gruppi nell'ambiente corrente.

Per ottenere un elenco di tutti i cmdlet correlati Azure AD, eseguire:

Get-Help Get-AzureAD*

Utenti dell'inventario

Per ottenere una panoramica di tutti gli utenti e i gruppi esistenti nell'Azure AD istanza:

Get-AzureADUser -All $true

Per elencare solo gli account abilitati, aggiungere il filtro seguente:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}

Per eseguire un dump completo di tutti gli attributi, nel caso in cui si dimentichi qualcosa:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *

Per selezionare gli attributi necessari per creare nuovamente gli utenti:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname

Per esportare l'elenco Excel, usare il cmdlet Export-Csv alla fine dell'elenco. Un'esportazione completa potrebbe essere simile all'esempio seguente:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8

Nota

Non è possibile eseguire la migrazione delle password. È invece necessario assegnare nuove password o usare un meccanismo self-service, a seconda dello scenario.

Inoltre, a seconda dell'ambiente, potrebbe essere necessario raccogliere altre informazioni, ad esempio i valori per Estensioni, DirectReport o LicenseDetail.

Formattare il file CSV in base alle esigenze. Seguire quindi la procedura descritta in Importare dati da CSV per creare nuovamente gli utenti nel nuovo ambiente.

Gruppi di inventario

Per documentare l'appartenenza a un gruppo:

Get-AzureADGroup

Per ottenere l'elenco dei membri per ogni gruppo:

Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}

Inventario di entità servizio e applicazioni

Anche se è necessario creare nuovamente tutte le entità servizio e tutte le applicazioni, è consigliabile documentare lo stato delle entità servizio e delle applicazioni. È possibile usare i cmdlet seguenti per ottenere un elenco completo di tutte le entità servizio:

Get-AzureADServicePrincipal |Format-List *

Get-AzureADApplication |Format-List *

È possibile ottenere altre informazioni usando altri cmdlet che iniziano con Get-AzureADServicePrincipal* o Get-AzureADApplication*.

Ruoli della directory di inventario

Per documentare l'assegnazione di ruolo corrente:

Get-AzureADDirectoryRole

Illustrare ogni ruolo per trovare gli utenti o le applicazioni associati al ruolo:

Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}

Per altre informazioni:

Azure AD Connect

Azure AD Connessione è uno strumento che sincronizza i dati di identità tra un'istanza Active Directory locale e Azure Active Directory (Azure AD). La versione corrente di Azure AD Connessione funziona sia per azure Azure Germania globale. Azure AD Connessione possibile eseguire la sincronizzazione con una Azure AD istanza alla volta. Se si vuole eseguire la sincronizzazione con Azure Germania azure globale e contemporaneamente, prendere in considerazione queste opzioni:

  • Utilizzare un server aggiuntivo per una seconda istanza di Azure AD Connessione. Non è possibile avere più istanze di Azure AD Connessione nello stesso server.
  • Definire un nuovo nome di accesso per gli utenti. La parte del dominio (dopo @) del nome di accesso deve essere diversa in ogni ambiente.
  • Definire una "fonte di verità" chiara quando si esegue anche la sincronizzazione all'indietro (da Azure AD a Active Directory locale).

Se si usa già Azure AD Connessione per la sincronizzazione da e verso Azure Germania, assicurarsi di eseguire la migrazione di tutti gli utenti creati manualmente. Il cmdlet di PowerShell seguente elenca tutti gli utenti che non sono sincronizzati usando Azure AD Connessione:

Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}

Per altre informazioni:

Multi-Factor Authentication

È necessario creare nuovamente gli utenti e ridefinire la Azure AD'istanza di Multi-Factor Authentication nel nuovo ambiente.

Per ottenere un elenco di account utente per i quali è abilitata o applicata l'autenticazione a più fattori:

  1. Accedere al portale di Azure.
  2. Selezionare UtentiTutti>gliutentiMulti-Factor> Authentication.
  3. Quando si viene reindirizzati alla pagina del servizio Multi-Factor Authentication, impostare i filtri appropriati per ottenere un elenco di utenti.

Per altre informazioni:

Passaggi successivi

Informazioni su strumenti, tecniche e consigli per la migrazione delle risorse nelle categorie di servizi seguenti: