Uppdatera anpassade principer för Azure-landningszoner

Med tiden uppdateras anpassade principer och principinitiativ i Azure-landningszonen till nyare versioner som du kan införliva i din Azure-miljö. Den här artikeln beskriver hur du uppdaterar dina anpassade principer och principinitiativ i Azure-landningszonen när nyare versioner släpps.

Artikeln beskriver manuella uppdateringssteg på hög nivå och innehåller referenser om hantering av uppdateringar för terraform - och Bicep-modulära implementeringar. Information om hur du migrerar anpassade principer för Azure-landningszoner till inbyggda Azure-principer med Bicep finns i Migrera Azure-landningszonprinciper till inbyggda Azure-principer.

Följande informationsgrafik innehåller ett beslutsträd och processflöde för anpassade principuppdateringar i Azure-landningszonen:

Varning

När du tar bort befintliga principtilldelningar skyddas inte din miljö under den tid det tar att tilldela om principer. När du har tilldelat uppdaterade principer granskar du avsnittet om principefterlevnad för eventuella resurser som inte är felfria och åtgärdar dem.

Uppdatera steg för Azure-landningszonmiljöer

I det här avsnittet beskrivs de allmänna stegen på hög nivå för att uppdatera dina anpassade principer och initiativ i Azure-landningszonen till nyare versioner.

Identifiera uppdateringar

Använd följande auktoritativa alternativ för att fastställa att en eller flera av dina anpassade principer för Azure-landningszonen är inaktuella:

• What's NewGranska regelbundet och observera att en eller flera principer uppdateras, till exempel det här exemplet.
• Använd Azure Governance Visualizer och observera att en eller flera principer har markerats som inaktuella.

Tillämpa uppdateringar

Så här avgör du om du vill använda uppdaterade anpassade principer för distributionen av Din Azure-landningszon:

1. Avgör om din Azure-egendom för närvarande tilldelar inaktuella anpassade principer i något omfång. Om du använder Azure Governance Visualizer kan du se dina tilldelade principer genom att kontrollera TenantSummary.
2. Ta reda på om någon av de inaktuella anpassade principerna ingår i ett anpassat principinitiativ för Azure-landningszoner.
3. Avgör om din Azure-egendom för närvarande tilldelar något av de inaktuella anpassade principinitiativen i något omfång.

Beroende på resultatet av ovanstående undersökningar vidtar du följande åtgärder:

Principer som inte har tilldelats

• Om den inaktuella principen inte har tilldelats i din Azure-egendom och inte ingår i ett befintligt initiativ för anpassad princip ersätter du den inaktuella principdefinitionen med den uppdaterade principdefinitionen i den mellanliggande rothanteringsgruppen i Azure-landningszonen, till exempel Contoso.

• Om ett initiativ för anpassad princip uppdateras, men inte har tilldelats i din Azure-egendom, ersätter du det inaktuella initiativet för anpassad princip med det uppdaterade initiativet för anpassad princip i den mellanliggande rothanteringsgruppen i Azure-landningszonen, till exempel Contoso.

Principer med oförändrade parametrar och inte en del av ett anpassat principinitiativ

Om den inaktuella principen för Azure-landningszoner har tilldelats något omfång i din Azure-egendom, inte ingår i ett befintligt initiativ för anpassad princip för Azure-landningszoner och parameternamnen och talet inte har ändrats:

• Ersätt det befintliga innehållet i den anpassade principdefinitionen med det uppdaterade innehållet i den anpassade principdefinitionen i den mellanliggande rothanteringsgruppen i Azure-landningszonen, till exempel Contoso. Detaljerad vägledning finns i användarhandboken för Azure-landningszoner.

Principer med ändrade parametrar och inte en del av ett anpassat principinitiativ

Om den inaktuella principen för Azure-landningszoner har tilldelats till något omfång i din Azure-egendom är inte en del av ett befintligt initiativ för anpassad princip för Azure-landningszonen och parameternamnen och talet har ändrats:

1. Samla in alla inaktuella principtilldelningar, där de tilldelas och deras parametervärden.
2. Utför någon av följande åtgärder:
   • Om principtilldelningen innehåller mer än en principdefinition uppdaterar du principtilldelningen genom att ta bort den inaktuella principen vid alla omfång där den tilldelas.
   • Om principtilldelningen endast innehåller den inaktuella principen tar du bort den befintliga principtilldelningen i alla omfång där den har tilldelats.
3. Ta bort den inaktuella principen från den mellanliggande rothanteringsgruppen i Azure-landningszonen, till exempel Contoso.
4. Importera den uppdaterade principen till den mellanliggande rothanteringsgruppen i Azure-landningszonen.
5. Uppdatera befintliga principtilldelningar eller skapa nya principtilldelningar genom att inkludera den uppdaterade principen i de förinspelade omfången.
6. När du har omtilldelat den uppdaterade anpassade principen granskar du avsnittet om principefterlevnad för att verifiera att resurserna är i felfritt tillstånd.

Detaljerad vägledning finns i användarhandboken för Azure-landningszoner.

Principer med oförändrade parametrar tilldelade via ett anpassat principinitiativ

Om den inaktuella principen för Azure-landningszoner ingår i ett befintligt initiativ för anpassad princip för Azure-landningszoner, tilldelas till alla omfång i din Azure-egendom och har oförändrade parameternamn och siffror:

• Ersätt det befintliga innehållet i den anpassade principdefinitionen med det uppdaterade innehållet i den anpassade principdefinitionen. Inga ytterligare ändringar behöver göras i det anpassade principinitiativet eller tilldelningarna, eftersom parameternumret och namnen är oförändrade. Detaljerad vägledning finns i användarhandboken för Azure-landningszoner.

Principer med ändrade parametrar tilldelade via ett anpassat principinitiativ

Om den inaktuella principen är en del av ett befintligt initiativ för anpassad princip, tilldelas till alla omfång i din Azure-egendom och har ändrat parameternamn och siffror:

1. Samla in alla principtilldelningar, där de har tilldelats och deras parametervärden för det anpassade principinitiativet.

2. Ta bort befintliga principtilldelningar i alla omfång där de har tilldelats.

3. Ta bort den inaktuella principen från initiativet för anpassad princip.

   Du kan inte ta bort initiativparametrar från initiativet för anpassad princip. Överväg att återanvända dessa parametrar.

4. Ta bort den inaktuella principen från den mellanliggande rothanteringsgruppen i Azure-landningszonen, till exempel Contoso.

5. Importera den uppdaterade principen till den mellanliggande rothanteringsgruppen i Azure-landningszonen.

6. Lägg till den uppdaterade principen i initiativet för anpassad princip.

   • Om tillämpligt återanvänder du de tidigare initiativparametrarna.
   • Om tillämpligt lägger du till andra initiativparametrar genom att följa befintliga namngivningsmönster som det anpassade principinitiativet definierar.

7. Tilldela om det uppdaterade initiativet för anpassad princip.

8. När du har omtilldelat det uppdaterade initiativet för anpassad princip granskar du avsnittet om principefterlevnad för att verifiera att resurserna är i felfritt tillstånd.

Detaljerad vägledning finns i användarhandboken för Azure-landningszoner.

Initiativ för tilldelad anpassad princip har uppdaterats

Om ett initiativ för anpassad princip i Azure-landningszonen har uppdaterats helt och tilldelas i något omfång i din Azure-egendom:

1. Samla in alla principtilldelningar, där de tilldelas och deras parametervärden för initiativet anpassad princip för Azure-landningszonen.

2. Ta bort befintliga principtilldelningar i alla omfång där de har tilldelats.

3. Ta bort det inaktuella initiativet för anpassad princip från den mellanliggande rothanteringsgruppen, till exempel Contoso. Innan du tar bort registrerar du alla namn och ID:er för anpassade principdefinitioner, förutsatt att alla anpassade principdefinitioner är uppdaterade.

4. Importera den uppdaterade anpassade principinitiativdefinitionen med lämpliga principreferenser.

   Du kan få uppdaterade initiativ på policySetDefinitions, med ett allmänt contoso omfång för anpassade principer. Kom ihåg att ändra omfånget contoso till pseudorotnamnet för hanteringsgruppens hierarki för varje principdefinitions-ID.

5. Tilldela om det uppdaterade initiativet för anpassad princip.

6. När du har omtilldelat det uppdaterade initiativet för anpassad princip granskar du avsnittet om principefterlevnad för att verifiera att resurserna är i felfritt tillstånd.

Detaljerad vägledning finns i användarhandboken för Azure-landningszoner.

Uppdateringssteg för Distributioner av Terraform-moduler

Om du använder Terraform-modulen Azure-landningszoner för att hantera distributionen av Din Azure-landningszon innehåller det här avsnittet resurser för uppdatering av anpassade principer och initiativ för Azure-landningszoner.

Identifiera uppdateringar med Terraform

Använd metoderna i Identifiera uppdateringar för att avgöra om principerna har ändrats. I Terraform-modulen kan du också se ändringar i principer på sidan versioner . Ett exempel finns i principuppdateringar för v2.3.0.

Uppdatera med Terraform

Terraform-modulen i Azure-landningszonen innehåller uppdateringsvägledning för distribution av icke-bakåtkompatibla ändringar. Följ uppgraderingsvägledningen för din version i uppgraderingsguiderna.

Uppdateringssteg för Bicep-moduldistributioner

Om du använder ALZ-Bicep-modulerna för att hantera distributionen av Din Azure-landningszon innehåller det här avsnittet resurser för uppdatering av anpassade principer och initiativ för Azure-landningszoner.

Identifiera uppdateringar med Bicep

Använd metoderna i Identifiera uppdateringar för att avgöra om principerna har ändrats. Du kan också se ändringar i ALZ-Bicep-principer i ALZ-Bicep-versioner.

Uppdatera med Bicep

ALZ-Bicep ger allmän vägledning för uppdatering av anpassade principer för Azure-landningszoner till nyare principer. Mer information finns i Så här migrerar du anpassade principer för Azure-landningszoner till inbyggda Azure-principer.

Nästa steg

Oavsett om du använder Azure-portalen, Bicep eller Terraform för att hantera din Infrastruktur för Azure-landningszoner måste du hantera principändringar över tid. Använd flödet i den här artikeln som utgångspunkt för att utveckla processer kring principhantering för implementeringen av Din Azure-landningszon.