Migrieren von Identitätsressourcen zu Azure weltweit
Wichtig
Seit August 2018 haben wir keine neuen Kunden akzeptiert und keine neuen Features und Dienste an den ursprünglichen Microsoft Cloud Deutschland-Standorten bereitgestellt.
Aufgrund der Weiterentwicklung der Kundenbedürfnisse haben wir vor Kurzem zwei neue Rechenzentrumsregionen in Deutschland gestartet, die Datenresidenz für Kundendaten, umfassende Konnektivität mit dem globalen Cloudnetzwerk von Microsoft sowie wettbewerbsfähige Preise bieten.
Darüber hinaus haben wir am 30. September 2020 angekündigt, dass die Microsoft Cloud Deutschland am 29. Oktober 2021 geschlossen wird. Weitere Details finden Sie hier: https://www.microsoft.com/cloud-platform/germany-cloud-regions.
Profitieren Sie von der Vielfalt der Funktionen, Sicherheit auf Unternehmensniveau und den umfangreichen Features, die in unseren neuen deutschen Rechenzentrumsregionen zur Verfügung stehen, und migrieren Sie noch heute.
Dieser Artikel enthält Informationen dazu, wie Sie Azure-Identitätsressourcen von Azure Deutschland zu Azure weltweit migrieren können.
Der Leitfaden für die Identitäts-/Mandantenmigration wurde für reine Azure-Kunden konzipiert. Wenn Sie allgemeine Azure Active Directory-Mandanten (Azure AD) für Azure und Microsoft 365 (oder andere Microsoft-Produkte) verwenden, beinhaltet eine Identitätsmigration komplexe Vorgänge, und Sie sollten sich vor der Verwendung dieses Migrationsleitfadens zunächst an Ihren Kontomanager wenden.
Azure Active Directory
Azure AD in Azure Deutschland ist von Azure AD in Azure weltweit getrennt. Derzeit können keine Sie Azure AD-Benutzer von Azure Deutschland nach Azure weltweit verschieben.
Standardmandantennamen in Azure Deutschland und Azure weltweit sind immer unterschiedlich, weil Azure automatisch ein zur entsprechenden Umgebung gehörendes Suffix anfügt. Beispielsweise lautet ein Benutzername für ein Mitglied des Mandanten contoso in Azure weltweit user1@contoso.microsoftazure.com. In Azure Deutschland lautet der Name user1@contoso.microsoftazure.de.
Wenn Sie benutzerdefinierte Domänennamen (etwa contoso.com) in Azure AD verwenden, müssen Sie den Domänennamen in Azure registrieren. Benutzerdefinierte Domänennamen können immer nur in jeweils einer Cloudumgebung definiert sein. Die Domänenüberprüfung schlägt fehl, wenn die Domäne bereits in irgendeiner Instanz von Azure Active Directory registriert ist. Zum Beispiel kann der Benutzer user1@contoso.com, der in Azure Deutschland vorhanden ist, nicht gleichzeitig unter demselben Namen auch in Azure weltweit vorhanden sein. Die Registrierung für contoso.com würde fehlschlagen.
Eine „sanfte“ Migration, bei der sich einige Benutzer bereits in der neuen Umgebung und einige Benutzer noch in der alten Umgebung befinden, erfordert unterschiedliche Anmeldenamen für die verschiedenen Cloudumgebungen.
In diesem Artikel ist nicht jedes mögliche Migrationsszenario beschrieben. Eine Empfehlung hängt z. B. davon ab, wie Sie Benutzer bereitstellen, welche Möglichkeiten bestehen, unterschiedliche Benutzernamen oder UserPrincipalNames zu verwenden, und von weiteren Abhängigkeiten. Wir haben jedoch einige Hinweise zusammengestellt, die Ihnen helfen sollen, Benutzer und Gruppen in Ihrer aktuellen Umgebung zu erfassen.
Um eine Liste aller Cmdlets zu erhalten, die sich auf Azure AD beziehen, führen Sie folgendes Cmdlet aus:
Get-Help Get-AzureAD*
Erfassen von Benutzern
So erhalten Sie eine Übersicht über alle Benutzer und Gruppen, die in Ihrer Azure AD-Instanz vorhanden sind:
Get-AzureADUser -All $true
Fügen Sie den folgenden Filter hinzu, um nur aktivierte Konten aufzulisten:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}
So erstellen Sie eine vollständige Sicherung aller Attribute für den Fall, dass Sie etwas vergessen:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *
So wählen Sie die Attribute aus, die Sie benötigen, um die Benutzer erneut zu erstellen:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname
Um die Liste nach Excel zu exportieren, verwenden das Cmdlet Export-Csv am Ende dieser Liste. Ein vollständiger Export kann wie dieses Beispiel aussehen:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8
Hinweis
Kennwörter können nicht migriert werden. Stattdessen müssen Sie je nach Szenario neue Kennwörter zuweisen oder einen Self-Service-Mechanismus verwenden.
Außerdem müssen Sie möglicherweise, abhängig von Ihrer Umgebung, weitere Informationen erfassen, etwa Werte für Extensions, DirectReport oder LicenseDetail.
Formatieren Sie die CSV-Datei entsprechend Ihren Anforderungen. Führen Sie dann die unter Importieren von Daten in mein Verzeichnis beschriebenen Schritte aus, um die Benutzer in Ihrer neuen Umgebung neu zu erstellen.
Erfassen von Gruppen
So dokumentieren Sie Gruppenmitgliedschaften:
Get-AzureADGroup
So rufen Sie die Liste der Elemente für jede Gruppe ab:
Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}
Erfassen der Dienstprinzipale und Anwendungen
Obwohl Sie alle Dienstprinzipale und Anwendungen neu erstellen müssen, empfiehlt es sich, den Status von Dienstprizipalen und Anwendungen zu dokumentieren. Sie können die folgenden Cmdlets verwenden, um eine umfassende Liste aller Dienstprinzipale abzurufen:
Get-AzureADServicePrincipal |Format-List *
Get-AzureADApplication |Format-List *
Sie können weitere Informationen mit anderen Cmdlets abrufen, die mit Get-AzureADServicePrincipal*
oder Get-AzureADApplication*
beginnen.
Erfassen von Verzeichnisrollen
So dokumentieren Sie die aktuelle Rollenzuweisung:
Get-AzureADDirectoryRole
Durchlaufen Sie jede Rolle, um Benutzer oder Anwendungen zu ermitteln, die der Rolle zugeordnet sind:
Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}
Weitere Informationen finden Sie unter:
- Informationen zu Hybrididentitätslösungen.
- Lesen Sie den Blogbeitrag Using ADConnect with multiple clouds, um zu erfahren, welche Möglichkeiten es gibt, mit unterschiedlichen Cloudumgebungen zu synchronisieren.
- Weitere Informationen zu Azure Active Directory.
- Lesen Sie über benutzerdefinierte Domänennamen.
- Erfahren Sie, wie Daten aus einer CSV-Datei in Azure AD importiert werden.
Azure AD Connect
Azure AD Connect ist ein Tool, das Ihre Identitätsdaten zwischen einer lokalen Active Directory-Instanz und Azure Active Directory (Azure AD) synchronisiert. Die aktuelle Version von Azure AD Connect funktioniert sowohl für Azure Deutschland als auch für Azure weltweit. Azure AD Connect kann immer nur mit jeweils einer Azure AD-Instanz synchronisieren. Wenn das Synchronisieren mit Azure Deutschland und Azure weltweit gleichzeitig erfolgen soll, beachten Sie die folgenden Optionen:
- Verwenden Sie einen zusätzlichen Server für eine zweite Instanz von Azure AD Connect. Es ist nicht möglich, mehrere Instanzen von Azure AD Connect auf demselben Server zu haben.
- Definieren Sie einen neuen Anmeldenamen für Ihre Benutzer. Der Domänenteil (nach @ ) des Anmeldenamens muss in jeder Umgebung unterschiedlich sein.
- Definieren Sie eine klare „Quelle der Wahrheit“, wenn Sie auch rückwärts synchronisieren (aus Azure AD in das lokale Active Directory).
Wenn Sie bereits Azure AD Connect verwenden, um nach und aus Azure Deutschland zu synchronisieren, müssen Sie daran denken, alle manuell erstellten Benutzer zu migrieren. Das folgende PowerShell-Cmdlet listet alle Benutzer auf, die nicht über Azure AD Connect synchronisiert werden:
Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}
Weitere Informationen finden Sie unter:
- Erfahren Sie hier mehr über Azure AD Connect.
Multi-Factor Authentication
Sie müssen in Ihrer neuen Umgebung Benutzer neu erstellen und Ihre Azure AD Multi-Factor Authentication-Instanz neu definieren.
So rufen Sie eine Liste von Benutzerkonten ab, für die mehrstufige Authentifizierung (Multi-Factor Authentication) aktiviert ist oder erzwungen wird:
- Melden Sie sich beim Azure-Portal an.
- Wählen Sie Benutzer>Alle Benutzer>Multi-Factor Authentication aus.
- Legen Sie, nachdem Sie auf die Seite für den Multi-Factor Authentication-Dienst weitergeleitet wurden, die gewünschten Filter fest, um eine Liste der Benutzer zu erhalten.
Weitere Informationen finden Sie unter:
- Erfahren Sie mehr über Azure AD Multi-Factor Authentication.
Nächste Schritte
Erfahren Sie mehr über Tools, Techniken und Empfehlungen zum Migrieren von Ressourcen in den folgenden Dienstkategorien: