Partilhar via


Transferir uma subscrição do Azure para um diretório diferente do Microsoft Entra.

As organizações podem ter várias subscrições do Azure. Cada subscrição está associada a um diretório do Microsoft Entra específico. Para facilitar a gestão, pode querer transferir uma subscrição para um diretório diferente do Microsoft Entra. Quando transfere uma subscrição para um diretório diferente do Microsoft Entra, alguns recursos não são transferidos para o diretório de destino. Por exemplo, todas as atribuições de função e funções personalizadas no controle de acesso baseado em função do Azure (Azure RBAC) são excluídas permanentemente do diretório de origem e não são transferidas para o diretório de destino.

Este artigo descreve as etapas básicas que você pode seguir para transferir uma assinatura para um diretório diferente do Microsoft Entra e recriar alguns dos recursos após a transferência.

Se, em vez disso , quiser bloquear a transferência de assinaturas para diretórios diferentes em sua organização, você pode configurar uma política de assinatura. Para obter mais informações, veja Gerir políticas de subscrição do Azure.

Nota

A alteração do diretório do Microsoft Entra para a subscrição não é suportada no caso das subscrições de Fornecedores de Soluções Cloud (CSP) do Azure.

Descrição geral

Transferir uma subscrição do Azure para um diretório do Microsoft Entra diferente é um processo complexo que tem de ser cuidadosamente planeado e executado. Muitos serviços do Azure exigem que os princípios de segurança (identidades) operem normalmente ou mesmo gerem outros recursos do Azure. Este artigo tenta cobrir a maioria dos serviços do Azure que dependem fortemente de entidades de segurança, mas não é abrangente.

Importante

Em alguns cenários, a transferência de uma subscrição pode exigir um período de inatividade para concluir o processo. É necessário um planeamento cuidadoso para avaliar se será necessário um período de inatividade para a transferência.

O diagrama a seguir mostra as etapas básicas que você deve seguir ao transferir uma assinatura para um diretório diferente.

  1. Preparar a transferência

  2. Transferir a subscrição do Azure para um diretório diferente

  3. Recriar os recursos no diretório de destino, como atribuições de funções, funções personalizadas e identidades geridas

    Diagrama de subscrição de transferência

Decidir se deseja transferir uma assinatura para um diretório diferente

A seguir estão alguns motivos pelos quais você pode querer transferir uma assinatura:

  • Devido a uma fusão ou aquisição da empresa, quer gerir uma subscrição adquirida no diretório do Microsoft Entra ID principal.
  • Alguém na sua organização criou uma subscrição e pretende consolidar a gestão num diretório do Microsoft Entra específico.
  • Tem aplicações que dependem de um ID ou URL de subscrição específico e não é fácil modificar a configuração ou o código da aplicação.
  • Uma parte da sua empresa foi dividida numa empresa separada e precisa de mover alguns dos seus recursos para um diretório do diretório do Microsoft Entra.
  • Quer gerir alguns dos seus recursos num diretório do Microsoft Entra ID diferente para fins de isolamento de segurança.

Abordagens alternativas

A transferência de uma assinatura requer tempo de inatividade para concluir o processo. Dependendo do cenário, você pode considerar as seguintes abordagens alternativas:

  • Recrie os recursos e copie os dados para o diretório de destino e a assinatura.
  • Adote uma arquitetura de vários diretórios e deixe a assinatura no diretório de origem. Use o Azure Lighthouse para delegar recursos para que os usuários no diretório de destino possam acessar a assinatura no diretório de origem. Para obter mais informações, consulte Azure Lighthouse em cenários corporativos.

Compreender o impacto da transferência de subscrições

Vários recursos do Azure têm uma dependência de uma assinatura ou de um diretório. Dependendo da sua situação, a tabela a seguir lista o impacto conhecido da transferência de uma assinatura. Executando as etapas neste artigo, você pode recriar alguns dos recursos que existiam antes da transferência de assinatura.

Importante

Esta seção lista os serviços ou recursos conhecidos do Azure que dependem da sua assinatura. Como os tipos de recursos no Azure estão em constante evolução, pode haver dependências adicionais não listadas aqui que podem causar uma alteração significativa no seu ambiente.

Serviço ou recurso Impactado Recuperável Foi afetado? O que pode fazer
Atribuições de funções Sim Sim Listar atribuições de função Todas as atribuições de função são excluídas permanentemente. Você deve mapear usuários, grupos e entidades de serviço para objetos correspondentes no diretório de destino. Você deve recriar as atribuições de função.
Funções personalizadas Sim Sim Listar funções personalizadas Todas as funções personalizadas são excluídas permanentemente. Você deve recriar as funções personalizadas e quaisquer atribuições de função.
Identidades geridas Atribuídas pelo sistema Sim Sim Listar identidades gerenciadas Você deve desabilitar e reativar as identidades gerenciadas. Você deve recriar as atribuições de função.
Identidades geridas atribuídas pelo utilizador Sim Sim Listar identidades gerenciadas Você deve excluir, recriar e anexar as identidades gerenciadas ao recurso apropriado. Você deve recriar as atribuições de função.
Azure Key Vault Sim Sim Listar políticas de acesso ao Cofre da Chave Você deve atualizar o ID do locatário associado aos cofres de chaves. Você deve remover e adicionar novas políticas de acesso.
Bancos de dados SQL do Azure com a integração de autenticação do Microsoft Entra habilitada Sim No Verifique os bancos de dados SQL do Azure com a autenticação do Microsoft Entra Não é possível transferir um banco de dados SQL do Azure com a autenticação do Microsoft Entra habilitada para um diretório diferente. Para obter mais informações, veja Utilizar a autenticação do Microsoft Entra.
Banco de Dados do Azure para MySQL com a integração de autenticação do Microsoft Entra habilitada Sim No Não é possível transferir um banco de dados do Azure para MySQL (servidor único e flexível) com a autenticação do Microsoft Entra habilitada para um diretório diferente.
Banco de Dados do Azure para Servidor Flexível PostgreSQL com integração de autenticação do Microsoft Entra habilitada ou com a Chave Gerenciada do Cliente habilitada Sim No Não é possível transferir um Banco de Dados do Azure para PostgreSQL com a autenticação do Microsoft Entra ou com a Chave Gerenciada do Cliente habilitada para um diretório diferente. Você tem que desativar esses recursos primeiro, transferir o servidor e, em seguida, reativar esses recursos.
Armazenamento do Azure e Azure Data Lake Storage Gen2 Sim Sim Você deve recriar quaisquer ACLs.
Ficheiros do Azure Sim Na maioria dos cenários Você deve recriar quaisquer ACLs. Para contas de armazenamento com a autenticação Kerberos do Entra habilitada, você deve desabilitar e reativar a autenticação do Entra Kerberos após a transferência. Para os Serviços de Domínio do Entra, não há suporte para a transferência para outro diretório do Microsoft Entra onde os Serviços de Domínio do Entra não estejam habilitados.
Azure File Sync Sim Sim O serviço de sincronização de armazenamento e/ou a conta de armazenamento podem ser movidos para um diretório diferente. Para obter mais informações, consulte Perguntas frequentes sobre os Arquivos do Azure
Managed Disks do Azure Sim Sim Se estiver a utilizar Conjuntos de Encriptação de Disco para encriptar Discos Geridos com chaves geridas pelo cliente, tem de desativar e reativar as identidades atribuídas pelo sistema associadas aos Conjuntos de Encriptação de Disco. E você deve recriar as atribuições de função, ou seja, conceder novamente as permissões necessárias aos Conjuntos de Criptografia de Disco nos Cofres de Chaves.
Azure Kubernetes Service Sim No Não é possível transferir o cluster AKS e os recursos associados para um diretório diferente. Para obter mais informações, consulte Perguntas frequentes sobre o Serviço Kubernetes do Azure (AKS)
Azure Policy Sim No Todos os objetos de Política do Azure, incluindo definições personalizadas, atribuições, isenções e dados de conformidade. Você deve exportar, importar e reatribuir definições. Em seguida, crie novas atribuições de política e quaisquer isenções de política necessárias.
Microsoft Entra Domain Services Sim No Não é possível transferir um domínio gerenciado pelos Serviços de Domínio Microsoft Entra para um diretório diferente. Para obter mais informações, consulte Perguntas freqüentes sobre os Serviços de Domínio do Microsoft Entra
Registos de aplicações Sim Sim
Microsoft Dev Box Sim No Não é possível transferir uma caixa de desenvolvimento e seus recursos associados para um diretório diferente. Depois que uma assinatura for movida para outro locatário, você não poderá executar nenhuma ação em sua caixa de desenvolvimento
Ambientes de Implantação do Azure Sim No Não é possível transferir um ambiente e seus recursos associados para um diretório diferente. Depois que uma assinatura for movida para outro locatário, você não poderá executar nenhuma ação em seu ambiente
Azure Service Fabric Sim No Você deve recriar o cluster. Para obter mais informações, consulte SF Clusters FAQ ou SF Managed Clusters FAQ
Azure Service Bus Sim Sim Você deve excluir, recriar e anexar as identidades gerenciadas ao recurso apropriado. Você deve recriar as atribuições de função.
Espaço de trabalho do Azure Synapse Analytics Sim Sim Você deve atualizar o ID do locatário associado ao espaço de trabalho do Synapse Analytics. Se o espaço de trabalho estiver associado a um repositório Git, você deverá atualizar a configuração do Git do espaço de trabalho. Para obter mais informações, consulte Recuperando o espaço de trabalho do Synapse Analytics após a transferência de uma assinatura para um diretório diferente do Microsoft Entra (locatário).
Azure Databricks Sim No Atualmente, o Azure Databricks não oferece suporte à movimentação de espaços de trabalho para um novo locatário. Para obter mais informações, consulte Gerenciar sua conta do Azure Databricks.
Azure Compute Gallery Sim Sim Replique as versões da imagem na galeria para outras regiões ou copie uma imagem de outra galeria.

Aviso

Se você estiver usando a criptografia em repouso para um recurso, como uma conta de armazenamento ou banco de dados SQL, que tenha uma dependência de um cofre de chaves que está sendo transferido, isso pode levar a um cenário irrecuperável. Se você tiver essa situação, deverá tomar medidas para usar um cofre de chaves diferente ou desabilitar temporariamente as chaves gerenciadas pelo cliente para evitar esse cenário irrecuperável.

Para obter uma lista de alguns dos recursos do Azure que são afetados quando transfere uma subscrição, também pode executar uma consulta no Azure Resource Graph. Para obter uma consulta de exemplo, consulte Listar recursos afetados ao transferir uma assinatura do Azure.

Pré-requisitos

Para concluir estas etapas, você precisará:

  • Bash no Azure Cloud Shell ou CLI do Azure
  • Proprietário da conta de cobrança da assinatura que você deseja transferir no diretório de origem
  • Uma conta de utilizador no diretório de origem e de destino para o utilizador que faz a alteração do diretório

Passo 1: Preparar a transferência

Entrar no diretório de origem

  1. Entre no Azure como administrador.

  2. Obtenha uma lista das suas subscrições com o comando az account list .

    az account list --output table
    
  3. Use az account set para definir a assinatura ativa que você deseja transferir.

    az account set --subscription "Marketing"
    

Instalar a extensão do Azure Resource Graph

A extensão da CLI do Azure para o Azure Resource Graph, resource-graph, permite que você use o comando az graph para consultar recursos gerenciados pelo Azure Resource Manager. Você usará esse comando em etapas posteriores.

  1. Use az extension list para ver se você tem a extensão resource-graph instalada.

    az extension list
    
  2. Se você estiver usando uma versão de visualização ou uma versão mais antiga da extensão de gráfico de recursos, use az extension update para atualizar a extensão.

    az extension update --name resource-graph
    
  3. Se a extensão resource-graph não estiver instalada, use az extension add para instalar a extensão.

    az extension add --name resource-graph
    

Salvar todas as atribuições de função

  1. Use az role assignment list para listar todas as atribuições de função (incluindo atribuições de função herdadas).

    Para facilitar a revisão da lista, você pode exportar a saída como JSON, TSV ou uma tabela. Para obter mais informações, consulte Listar atribuições de função usando o RBAC do Azure e a CLI do Azure.

    az role assignment list --all --include-inherited --output json > roleassignments.json
    az role assignment list --all --include-inherited --output tsv > roleassignments.tsv
    az role assignment list --all --include-inherited --output table > roleassignments.txt
    
  2. Salve a lista de atribuições de função.

    Quando você transfere uma assinatura, todas as atribuições de função são excluídas permanentemente , por isso é importante salvar uma cópia.

  3. Analise a lista de atribuições de função. Pode haver atribuições de função que você não precisará no diretório de destino.

Salvar funções personalizadas

  1. Use a lista de definição de função az para listar suas funções personalizadas. Para obter mais informações, consulte Criar ou atualizar funções personalizadas do Azure usando a CLI do Azure.

    az role definition list --custom-role-only true --output json --query '[].{roleName:roleName, roleType:roleType}'
    
  2. Salve cada função personalizada que você precisará no diretório de destino como um arquivo JSON separado.

    az role definition list --name <custom_role_name> > customrolename.json
    
  3. Faça cópias dos arquivos de função personalizados.

  4. Modifique cada cópia para usar o seguinte formato.

    Você usará esses arquivos posteriormente para recriar as funções personalizadas no diretório de destino.

    {
      "Name": "",
      "Description": "",
      "Actions": [],
      "NotActions": [],
      "DataActions": [],
      "NotDataActions": [],
      "AssignableScopes": []
    }
    

Determinar mapeamentos de usuário, grupo e entidade de serviço

  1. Com base na sua lista de atribuições de função, determine os usuários, grupos e entidades de serviço para os quais você mapeará no diretório de destino.

    Você pode identificar o tipo de entidade examinando a principalType propriedade em cada atribuição de função.

  2. Se necessário, no diretório de destino, crie usuários, grupos ou entidades de serviço necessárias.

Listar atribuições de função para identidades gerenciadas

As identidades gerenciadas não são atualizadas quando uma assinatura é transferida para outro diretório. Como resultado, as identidades geridas atribuídas pelo sistema ou pelo utilizador serão quebradas. Após a transferência, você pode reativar todas as identidades gerenciadas atribuídas ao sistema. Para identidades gerenciadas atribuídas pelo usuário, você terá que recriá-las e anexá-las no diretório de destino.

  1. Analise a lista de serviços do Azure que dão suporte a identidades gerenciadas para observar onde você pode estar usando identidades gerenciadas.

  2. Use az ad sp list para listar suas identidades gerenciadas atribuídas pelo sistema e pelo usuário.

    az ad sp list --all --filter "servicePrincipalType eq 'ManagedIdentity'"
    
  3. Na lista de identidades gerenciadas, determine quais são atribuídas ao sistema e quais são atribuídas pelo usuário. Você pode usar os seguintes critérios para determinar o tipo.

    Critérios Tipo de identidade gerenciada
    alternativeNames a propriedade inclui isExplicit=False Atribuída pelo sistema
    alternativeNames propriedade não inclui isExplicit Atribuída pelo sistema
    alternativeNames a propriedade inclui isExplicit=True Atribuída pelo utilizador

    Você também pode usar az identity list para listar apenas identidades gerenciadas atribuídas pelo usuário. Para obter mais informações, consulte Criar, listar ou excluir uma identidade gerenciada atribuída pelo usuário usando a CLI do Azure.

    az identity list
    
  4. Obtenha uma lista dos objectId valores para suas identidades gerenciadas.

  5. Pesquise sua lista de atribuições de função para ver se há atribuições de função para suas identidades gerenciadas.

Listar cofres de chaves

Quando você cria um cofre de chaves, ele é automaticamente vinculado à ID de locatário padrão do Microsoft Entra para a assinatura na qual ele é criado. Todas as entradas de política de acesso também estão associadas a este ID de inquilino. Para obter mais informações, consulte Movendo um Cofre de Chaves do Azure para outra assinatura.

Aviso

Se você estiver usando a criptografia em repouso para um recurso, como uma conta de armazenamento ou banco de dados SQL, que tenha uma dependência de um cofre de chaves que está sendo transferido, isso pode levar a um cenário irrecuperável. Se você tiver essa situação, deverá tomar medidas para usar um cofre de chaves diferente ou desabilitar temporariamente as chaves gerenciadas pelo cliente para evitar esse cenário irrecuperável.

  • Se você tiver um cofre de chaves, use az keyvault show para listar as políticas de acesso. Para obter mais informações, consulte Atribuir uma política de acesso ao Cofre da Chave.

    az keyvault show --name MyKeyVault
    

Listar bancos de dados SQL do Azure com autenticação do Microsoft Entra

Listar ACLs

  1. Se você estiver usando o Azure Data Lake Storage Gen2, liste as ACLs que são aplicadas a qualquer arquivo usando o portal do Azure ou o PowerShell.

  2. Se você estiver usando Arquivos do Azure, liste as ACLs que são aplicadas a qualquer arquivo.

Listar outros recursos conhecidos

  1. Use az account show para obter seu ID de assinatura (em bash).

    subscriptionId=$(az account show --output tsv --query id)
    
  2. Use a extensão az graph para listar outros recursos do Azure com dependências de diretório conhecidas do Microsoft Entra (em bash).

    az graph query -q 'resources 
        | where type != "microsoft.azureactivedirectory/b2cdirectories" 
        | where  identity <> "" or properties.tenantId <> "" or properties.encryptionSettingsCollection.enabled == true 
        | project name, type, kind, identity, tenantId, properties.tenantId' --subscriptions $subscriptionId --output yaml
    

Passo 2: Transferir a subscrição

Nesta etapa, você transfere a assinatura do diretório de origem para o diretório de destino. As etapas serão diferentes, dependendo se você também deseja transferir a propriedade de faturamento.

Aviso

Quando você transfere a assinatura, todas as atribuições de função no diretório de origem são excluídas permanentemente e não podem ser restauradas. Não poderá voltar atrás depois de transferir a subscrição. Conclua os passos anteriores antes de realizar este passo.

  1. Determine se também quer transferir a propriedade de faturação para outra conta.

  2. Transfira a subscrição para um diretório diferente.

  3. Depois de concluir a transferência da assinatura, volte a este artigo para recriar os recursos no diretório de destino.

Etapa 3: recriar recursos

Entrar no diretório de destino

  1. No diretório de destino, entre como o usuário que aceitou a solicitação de transferência.

    Somente o usuário da nova conta que aceitou a solicitação de transferência terá acesso para gerenciar os recursos.

  2. Obtenha uma lista das suas subscrições com o comando az account list .

    az account list --output table
    
  3. Use az account set para definir a assinatura ativa que você deseja usar.

    az account set --subscription "Contoso"
    

Criar funções personalizadas

Atribuir funções

Atualizar identidades gerenciadas atribuídas pelo sistema

  1. Desative e reative as identidades gerenciadas atribuídas ao sistema.

    Serviço do Azure Mais informações
    Máquinas virtuais Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando a CLI do Azure
    Conjuntos de dimensionamento de máquinas virtuais Configurar identidades gerenciadas para recursos do Azure em um conjunto de dimensionamento de máquina virtual usando a CLI do Azure
    Outros serviços Serviços que dão suporte a identidades gerenciadas para recursos do Azure
  2. Use az role assignment create para atribuir funções a identidades gerenciadas atribuídas pelo sistema. Para obter mais informações, consulte Atribuir um acesso de identidade gerenciado a um recurso usando a CLI do Azure.

    az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
    

Atualizar identidades gerenciadas atribuídas pelo usuário

  1. Exclua, recrie e anexe identidades gerenciadas atribuídas pelo usuário.

    Serviço do Azure Mais informações
    Máquinas virtuais Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando a CLI do Azure
    Conjuntos de dimensionamento de máquinas virtuais Configurar identidades gerenciadas para recursos do Azure em um conjunto de dimensionamento de máquina virtual usando a CLI do Azure
    Outros serviços Serviços que dão suporte a identidades gerenciadas para recursos do Azure
    Criar, listar ou excluir uma identidade gerenciada atribuída pelo usuário usando a CLI do Azure
  2. Use az role assignment create para atribuir funções a identidades gerenciadas atribuídas pelo usuário. Para obter mais informações, consulte Atribuir um acesso de identidade gerenciado a um recurso usando a CLI do Azure.

    az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
    

Atualizar cofres de chaves

Esta seção descreve as etapas básicas para atualizar seus cofres de chaves. Para obter mais informações, consulte Movendo um Cofre de Chaves do Azure para outra assinatura.

  1. Atualize o ID do locatário associado a todos os cofres de chaves existentes na assinatura do diretório de destino.

  2. Remover todas as entradas de política de acesso existentes.

  3. Adicione novas entradas de política de acesso associadas ao diretório de destino.

Atualizar ACLs

  1. Se você estiver usando o Azure Data Lake Storage Gen2, atribua as ACLs apropriadas. Para obter mais informações, veja Controlo de acesso no Azure Data Lake Storage Gen2.

  2. Se você estiver usando Arquivos do Azure, atribua as ACLs apropriadas.

Rever outros métodos de segurança

Embora as atribuições de função sejam removidas durante a transferência, os usuários na conta de proprietário original podem continuar a ter acesso à assinatura por meio de outros métodos de segurança, incluindo:

  • As chaves de acesso para serviços, como o Armazenamento.
  • Certificados de gerenciamento que concedem ao administrador do usuário acesso aos recursos de assinatura.
  • As credenciais de Acesso Remoto para serviços, como as Máquinas Virtuais do Azure.

Se sua intenção for remover o acesso dos usuários no diretório de origem para que eles não tenham acesso no diretório de destino, você deve considerar a rotação de quaisquer credenciais. Até que as credenciais sejam atualizadas, os usuários continuarão a ter acesso após a transferência.

  1. Gire as chaves de acesso da conta de armazenamento. Para obter mais informações, consulte Gerenciar chaves de acesso da conta de armazenamento.

  2. Se você estiver usando chaves de acesso para outros serviços, como o Banco de Dados SQL do Azure ou o Azure Service Bus Messaging, gire as chaves de acesso.

  3. Para recursos que usam segredos, abra as configurações do recurso e atualize o segredo.

  4. Para recursos que usam certificados, atualize o certificado.

Próximos passos