Udostępnij za pośrednictwem

Migrowanie zasobów tożsamości na globalną platformę Azure

  • Artykuł

Ważne

Od sierpnia 2018 r. nie akceptowaliśmy nowych klientów ani nie wdrażaliśmy żadnych nowych funkcji i usług w oryginalnych lokalizacjach usługi Microsoft Cloud w Niemczech.

W oparciu o ewolucję potrzeb klientów niedawno uruchomiliśmy dwa nowe regiony centrów danych w Niemczech, oferując rezydencję danych klientów, pełną łączność z globalną siecią w chmurze firmy Microsoft oraz konkurencyjne ceny na rynku.

Ponadto 30 września 2020 r. ogłosiliśmy, że 29 października 2021 r. zostanie zamknięte rozwiązanie Microsoft Cloud Germany. Więcej szczegółów można znaleźć tutaj: https://www.microsoft.com/cloud-platform/germany-cloud-regions.

Skorzystaj z szerokiej funkcjonalności, zabezpieczeń klasy korporacyjnej i kompleksowych funkcji dostępnych w naszych nowych regionach centrów danych w Niemczech, migrując już dziś.

Ten artykuł zawiera informacje, które mogą ułatwić migrację zasobów tożsamości platformy Azure z platformy Azure (Niemcy) do globalnej platformy Azure.

Wskazówki dotyczące tożsamości/dzierżaw są przeznaczone dla klientów korzystających tylko z platformy Azure. W przypadku korzystania z typowych dzierżaw usługi Azure Active Directory (Azure AD) dla platformy Azure i usług Microsoft 365 (lub innych produktów firmy Microsoft) migracja tożsamości jest złożona i należy najpierw skontaktować się z menedżerem konta przed użyciem tych wskazówek dotyczących migracji.

Azure Active Directory

Usługa Azure AD na platformie Azure (Niemcy) jest oddzielona od usługi Azure AD na globalnej platformie Azure. Obecnie nie można przenieść użytkowników usługi Azure AD z platformy Azure (Niemcy) do globalnej platformy Azure.

Domyślne nazwy dzierżaw na platformie Azure (Niemcy) i globalnej platformie Azure są zawsze różne, ponieważ platforma Azure automatycznie dołącza sufiks w zależności od środowiska. Na przykład nazwa użytkownika dla członka dzierżawy contoso na globalnej platformie Azure to user1@contoso.microsoftazure.com. Na platformie Azure (Niemcy) jest to user1@contoso.microsoftazure.de.

Jeśli używasz niestandardowych nazw domen (takich contoso.com) w usłudze Azure AD, musisz zarejestrować nazwę domeny na platformie Azure. Nazwy domen niestandardowych można zdefiniować tylko w jednym środowisku chmury na raz. Walidacja domeny kończy się niepowodzeniem, gdy domena jest już zarejestrowana w dowolnym Azure Active Directory. Na przykład użytkownik, który istnieje user1@contoso.com na platformie Azure (Niemcy), nie może jednocześnie istnieć na globalnej platformie Azure pod taką samą nazwą. Rejestracja dla contoso.com nie powiedzie się.

Migracja "programowa", w której niektórzy użytkownicy znajdują się już w nowym środowisku, a niektórzy użytkownicy nadal znajdują się w starym środowisku, wymagają różnych nazw logowania dla różnych środowisk chmury.

W tym artykule nie ominiemy poszczególnych możliwych scenariuszy migracji. Zalecenie zależy na przykład od sposobu aprowizowania użytkowników, dostępnych opcji używania różnych nazw użytkowników, nazw UserPrincipalName i innych zależności. Jednak skompilowaliśmy kilka wskazówek, które ułatwiają spis użytkowników i grup w bieżącym środowisku.

Aby uzyskać listę wszystkich polecenia cmdlet związanych z usługą Azure AD, uruchom polecenie:

Get-Help Get-AzureAD*

Użytkownicy spisu

Aby uzyskać przegląd wszystkich użytkowników i grup istniejących w wystąpieniu usługi Azure AD:

Get-AzureADUser -All $true

Aby wyświetlić listę tylko włączonych kont, dodaj następujący filtr:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}

Aby wykonać pełny zrzut wszystkich atrybutów, na wypadek, gdy zapomnisz coś:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *

Aby wybrać atrybuty potrzebne do ponownego utworzenia użytkowników:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname

Aby wyeksportować listę do Excel, użyj polecenia cmdlet Export-Csv na końcu tej listy. Pełny eksport może wyglądać podobnie do tego przykładu:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8

Uwaga

Nie można migrować haseł. Zamiast tego należy przypisać nowe hasła lub użyć mechanizmu samoobsługi, w zależności od scenariusza.

Ponadto w zależności od środowiska może być konieczne zebranie innych informacji, na przykład wartości extensions, DirectReport lub LicenseDetail.

Sformatuj plik CSV zgodnie z potrzebami. Następnie wykonaj kroki opisane w temacie Importowanie danych z woluminu CSV , aby ponownie utworzyć użytkowników w nowym środowisku.

Grupy spisu

Aby udokumentować członkostwo w grupie:

Get-AzureADGroup

Aby uzyskać listę członków dla każdej grupy:

Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}

Jednostki usługi i aplikacje spisu

Mimo że należy ponownie utworzyć wszystkie jednostki usługi i aplikacje, dobrym rozwiązaniem jest udokumentowanie stanu jednostki usługi i aplikacji. Aby uzyskać obszerną listę wszystkich podmiotów usługi, można użyć następujących polecenia cmdlet:

Get-AzureADServicePrincipal |Format-List *

Get-AzureADApplication |Format-List *

Aby uzyskać więcej informacji, możesz użyć innych polecenia cmdlet, które zaczynają się od lub Get-AzureADServicePrincipal*Get-AzureADApplication*.

Spis ról katalogu

Aby udokumentować bieżące przypisanie roli:

Get-AzureADDirectoryRole

Należy przejść przez poszczególne role, aby znaleźć użytkowników lub aplikacje skojarzone z tą rolą:

Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}

Więcej informacji:

Azure AD Connect

Azure AD Połączenie to narzędzie, które synchronizuje dane tożsamości między wystąpieniem lokalna usługa Active Directory a Azure Active Directory (Azure AD). Bieżąca wersja usługi Azure AD Połączenie działa zarówno w przypadku platformy Azure (Niemcy), jak i globalnej platformy Azure. Usługa Azure AD Połączenie można jednocześnie synchronizować tylko z jednym wystąpieniem usługi Azure AD. Jeśli chcesz równocześnie zsynchronizować platformę Azure (Niemcy) i globalną platformę Azure, rozważ następujące opcje:

  • Użyj dodatkowego serwera dla drugiego wystąpienia usługi Azure AD Połączenie. Nie można mieć wielu wystąpień usługi Azure AD Połączenie na tym samym serwerze.
  • Zdefiniuj nową nazwę logowania dla użytkowników. Część domeny (po @znaku ) nazwy logowania musi być inna w każdym środowisku.
  • Zdefiniuj jasne "źródło prawdy" podczas synchronizacji z poprzednimi wersjami (z usługi Azure AD do lokalna usługa Active Directory).

Jeśli używasz już usługi Azure AD Połączenie do synchronizowania z i z platformy Azure (Niemcy), upewnij się, że migrujesz ręcznie utworzonych użytkowników. Następujące polecenie cmdlet programu PowerShell wyświetla listę wszystkich użytkowników, którzy nie są zsynchronizowani przy użyciu usługi Azure AD Połączenie:

Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}

Więcej informacji:

Uwierzytelnianie wieloskładnikowe

Należy ponownie utworzyć użytkowników i ponownie zdefiniować wystąpienie usługi Azure AD Multi-Factor Authentication w nowym środowisku.

Aby uzyskać listę kont użytkowników, dla których jest włączone lub wymuszane uwierzytelnianie wieloskładnikowe:

  1. Zaloguj się w witrynie Azure Portal.
  2. Wybierz pozycjęUżytkownicyWszyscy>użytkownicyMulti-Factor> Authentication.
  3. Po przekierowaniu do strony usługi Multi-Factor Authentication ustaw odpowiednie filtry, aby uzyskać listę użytkowników.

Więcej informacji:

Następne kroki

Dowiedz się więcej o narzędziach, technikach i zaleceniach dotyczących migrowania zasobów w następujących kategoriach usług: