將身分識別資源遷移至全域 Azure
重要
自 2018 年8月起,我們尚未接受新的客戶,或將任何新的功能和服務部署到原始的 Microsoft 雲端德國地點。
根據客戶需求的演進,我們最近在德國 推出 了兩個新的資料中心區域,提供客戶資料落地、與 Microsoft 全球雲端網路的完整連線能力,以及市場競爭力的定價。
此外,在2020年9月30日,我們宣佈 Microsoft Cloud 德國將于2021年10月29日關閉。 您可以在這裡找到更多詳細資料: https://www.microsoft.com/cloud-platform/germany-cloud-regions 。
立即 遷移 ,充分利用新德國資料中心區域提供的各種功能、企業級安全性和全方位功能。
本文提供的資訊可協助您將 Azure 身分識別資源從 Azure 德國遷移至全域 Azure。
身分識別/租使用者的指導方針適用于僅限 Azure 客戶。 如果您使用一般 Azure Active Directory (Azure AD 適用于 Azure 的) 租使用者或 Microsoft 365 (或其他 Microsoft 產品) ,則身分識別遷移會很複雜,而且您應該先洽詢您的帳戶管理員,然後再使用此遷移指引。
Azure Active Directory
Azure 德國中的 Azure AD 與全域 Azure 中的 Azure AD 不同。 您目前無法將 Azure AD 使用者從 Azure 德國移至全域 Azure。
Azure 德國和全域 Azure 中的預設租使用者名稱一律不同,因為 Azure 會根據環境自動附加尾碼。 例如,在全域 Azure 中, contoso 租使用者成員的使用者名稱為 user1@contoso.microsoftazure.com 。 在 Azure 德國中,它是 user1@contoso.microsoftazure.de 。
當您在 Azure AD 中使用自訂功能變數名稱 (例如contoso.com) 時,您必須在 Azure 中註冊該功能變數名稱。 自訂功能變數名稱一次只能在 一個 雲端環境中定義。 當網域已在 Azure Active Directory 的任何實例中註冊時,網域驗證會失敗。 例如,存在於 Azure 德國中的使用者 user1@contoso.com 也不能同時存在相同名稱的全域 Azure 中。 Contoso.com的註冊將會失敗。
「軟」遷移,其中某些使用者已在新環境中,而某些使用者仍在舊環境中,則需要不同的登入名稱來進行不同的雲端環境。
我們不會在本文中討論每個可能的遷移案例。 例如,建議您如何布建使用者、使用不同的使用者名稱或 UserPrincipalNames 有哪些選項,以及其他相依性。 但是,我們已編譯一些提示,可協助您清查目前環境中的使用者和群組。
若要取得與 Azure AD 相關的所有 Cmdlet 清單,請執行:
Get-Help Get-AzureAD*
清查使用者
若要深入瞭解存在於 Azure AD 實例中的所有使用者和群組:
Get-AzureADUser -All $true
若只要列出啟用的帳戶,請新增下列篩選準則:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}
若要建立所有屬性的完整傾印,以防您忘記:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *
若要選取您需要重新建立使用者的屬性:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname
若要將清單匯出為 Excel,請使用此清單結尾的匯出-Csv Cmdlet。 完整的匯出可能看起來像這個範例:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8
注意
您無法遷移密碼。 相反地,您必須根據您的案例,指派新密碼或使用自助機制。
此外,視您的環境而定,您可能需要收集其他資訊,例如 Extensions、 DirectReport或 LicenseDetail的值。
視需要格式化 CSV 檔案。 然後,遵循 從 CSV 匯入資料 中所述的步驟,在新的環境中重新建立使用者。
清查群組
若要記錄群組成員資格:
Get-AzureADGroup
若要取得每個群組的成員清單:
Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}
清查服務主體和應用程式
雖然您必須重新建立所有服務主體和應用程式,但最好先記錄服務主體和應用程式的狀態。 您可以使用下列 Cmdlet 來取得所有服務主體的廣泛清單:
Get-AzureADServicePrincipal |Format-List *
Get-AzureADApplication |Format-List *
您可以使用以 Get-AzureADServicePrincipal*
或 Get-AzureADApplication*
開頭的其他 Cmdlet 來取得詳細資訊。
清查目錄角色
若要記錄目前的角色指派:
Get-AzureADDirectoryRole
逐步解說每個角色,以尋找與角色相關聯的使用者或應用程式:
Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}
其他資訊:
- 深入瞭解混合式身分 識別解決方案。
- 閱讀Azure AD 連線多個雲端的 blog 文章使用方式,以瞭解您可以同步至不同雲端環境的方法。
- 深入瞭解Azure Active Directory。
- 閱讀 自訂功能變數名稱的相關資訊。
- 瞭解如何將資料從 CSV 匯入至 Azure AD。
Azure AD Connect
Azure AD 連線是一種工具,可在內部部署的 Active Directory 實例與 Azure Active Directory (Azure AD) 之間同步處理您的身分識別資料。 目前的 Azure AD 版本連線適用于 Azure 德國和全域 Azure。 Azure AD 連線一次只能同步到一個 Azure AD 實例。 如果您想要同時同步至 Azure 德國和全域 Azure,請考慮下列選項:
- 針對 Azure AD 連線的第二個實例,請使用其他伺服器。 同一部伺服器上不能有多個 Azure AD 連線實例。
- 為您的使用者定義新的登入名稱。 在每個環境中,登入名稱) 之後 @ (的網域部分必須不同。
- 當您也將 (從 Azure AD 同步處理至內部部署的 Active Directory) 時,請定義明確的「真實來源」。
如果您已經使用 Azure AD 連線在 Azure 德國之間進行同步處理,請務必遷移任何手動建立的使用者。 下列 PowerShell Cmdlet 會列出未使用 Azure AD 連線同步處理的所有使用者:
Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}
其他資訊:
- 深入瞭解Azure AD 連線。
Multi-Factor Authentication
您必須重新建立使用者,並在新的環境中重新定義 Azure AD Multi-Factor Authentication 實例。
若要取得已啟用或強制執行多重要素驗證的使用者帳戶清單:
- 登入 Azure 入口網站。
- 選取使用者> 的所有使用者>Multi-Factor Authentication。
- 當您將重新導向至多重要素驗證服務頁面時,請設定適當的篩選以取得使用者清單。
其他資訊:
後續步驟
瞭解在下列服務類別中遷移資源的工具、技術和建議: