通过

将标识资源迁移到全球 Azure

  • 项目

重要

2018 年 8 月以来,我们没有接受新客户,也没有在原始 Microsoft 云德国地区部署任何新功能和服务。

根据客户需求的变化,我们最近在德国推出了两个新的数据中心区域,提供客户数据驻留、与 Microsoft 全球云网络的完整连接以及具有市场竞争力的定价。

此外,在 2020 年 9 月 30 日,我们宣布了 Microsoft 云德国将于 2021 年 10 月 29 日关闭。 此处提供了更多详细信息:https://www.microsoft.com/cloud-platform/germany-cloud-regions

立即迁移,以充分利用新的德国数据中心区域提供的广泛功能、企业级安全性和全面功能。

本文中的信息可帮助你将 Azure 标识资源从 Azure 德国迁移到全球 Azure。

有关标识/租户的指南仅适用于 Azure 客户。 如果 Azure 和 Microsoft 365(或其他 Microsoft 产品)使用常用 Azure Active Directory (Azure AD) 租户,则标识的迁移比较复杂,应在使用此迁移指南之前首先联系你的帐户管理员。

Azure Active Directory

Azure 德国中的 Azure AD 独立于全球 Azure 中的 Azure AD。 目前,无法将 Azure AD 用户从 Azure 德国移动到全球 Azure。

Azure 德国和全球 Azure 中的默认租户名称始终不同,因为 Azure 会根据环境自动追加后缀。 例如,全局 Azure 中 contoso 租户的成员的用户名是 user1@contoso.microsoftazure.com。 在 Azure 德国 中,它是 user1@contoso.microsoftazure.de

在 Azure AD 中使用自定义域名(例如 contoso.com)时,必须在 Azure 中注册此域名。 自定义域名一次只能在一个云环境中定义。 当某个域已在 Azure Active Directory 的任何一个实例中注册时,域验证就会失败。 例如,Azure 德国 user1@contoso.com 用户不能同时存在于全局 Azure 中同名。 注册 contoso.com 就会失败。

在“软”迁移中,某些用户已在新环境中,而某些用户仍在旧环境中,这种迁移需要针对不同的云环境使用不同的登录名。

本文未涵盖所有可能的迁移方案。 例如,建议的方案取决于预配用户的方式、不同用户名或 UserPrincipalNames 的使用选项以及其他依赖项。 但是,我们编译了一些提示,以帮助你盘存当前环境中的用户和组。

若要获取与 Azure AD 相关的所有 cmdlet 的列表,请运行:

Get-Help Get-AzureAD*

盘存用户

若要大致了解你的 Azure AD 实例中存在的所有用户和组:

Get-AzureADUser -All $true

若要仅列出已启用的帐户,请添加以下筛选器:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}

若要完整转储所有属性,以防忘记某些内容:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *

若要选择重新创建用户所需的属性:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname

若要将列表导出到 Excel,请在此列表末尾处使用 Export-Csv cmdlet。 完整的导出内容可能如以下示例所示:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8

注意

密码无法迁移。 相反,必须根据你的方案分配新密码或使用自助服务机制。

此外,你可能需要根据环境收集其他信息,例如 Extensions、DirectReport 或 LicenseDetail 的值。

根据需要格式化 CSV 文件。 然后按照从 CSV 导入数据中所述的步骤在你的新环境中重新创建用户。

盘存组

若要记录组成员身份:

Get-AzureADGroup

若要获取每个组的成员列表:

Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}

盘存服务主体和应用程序

尽管必须重新创建所有服务主体和应用程序,但最好记录服务主体和应用程序的状态。 可以使用以下 cmdlet 获取所有服务主体的详细列表:

Get-AzureADServicePrincipal |Format-List *

Get-AzureADApplication |Format-List *

可以使用以 Get-AzureADServicePrincipal*Get-AzureADApplication* 开头的其他 cmdlet 获取详细信息。

盘存目录角色

若要记录当前角色分配:

Get-AzureADDirectoryRole

演练每个角色以查找与该角色关联的用户或应用程序:

Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}

参考信息:

Azure AD Connect

Azure AD Connect 是一种在本地 Active Directory 实例和 Azure Active Directory (Azure AD) 之间同步标识数据的工具。 当前版本的 Azure AD Connect 对 Azure 德国和全球 Azure 均适用。 Azure AD Connect 一次只能同步到一个 Azure AD 实例。 如果希望同时同步到 Azure 德国和全球 Azure,请考虑使用以下选项:

  • 为 Azure AD Connect 的第二个实例使用额外的服务器。 同一台服务器上不能有多个 Azure AD Connect 实例。
  • 为用户定义新的登录名。 登录名的域部分( @ 后)必须在每个环境中各不相同。
  • 此外,向后同步(从 Azure AD 同步到本地 Active Directory)时,还需定义清晰的“可信源”。

如果已使用 Azure AD Connect 同步 Azure 德国,请确保迁移所有手动创建的用户。 以下 PowerShell cmdlet 列出了使用 Azure AD Connect 未同步的所有用户:

Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}

参考信息:

多重身份验证

必须在新环境中重新创建用户和重新定义 Azure AD 多重身份验证实例。

若要获取启用或强制实施多重身份验证的用户帐户的列表,请执行以下操作:

  1. 登录到 Azure 门户。
  2. 选择“用户”>“所有用户”>“多重身份验证”。
  3. 重定向到多重身份验证服务页时,设置相应的筛选器以获取用户列表。

参考信息:

后续步骤

了解有关迁移以下服务类别中的资源的工具、技术和建议: