Transferir uma subscrição do Azure para um diretório diferente do Microsoft Entra.
As organizações podem ter várias subscrições do Azure. Cada subscrição está associada a um diretório do Microsoft Entra específico. Para facilitar a gestão, pode querer transferir uma subscrição para um diretório diferente do Microsoft Entra. Quando transfere uma subscrição para um diretório diferente do Microsoft Entra, alguns recursos não são transferidos para o diretório de destino. Por exemplo, todas as atribuições de função e funções personalizadas no controle de acesso baseado em função do Azure (Azure RBAC) são excluídas permanentemente do diretório de origem e não são transferidas para o diretório de destino.
Este artigo descreve as etapas básicas que você pode seguir para transferir uma assinatura para um diretório diferente do Microsoft Entra e recriar alguns dos recursos após a transferência.
Se, em vez disso , quiser bloquear a transferência de assinaturas para diretórios diferentes em sua organização, você pode configurar uma política de assinatura. Para obter mais informações, veja Gerir políticas de subscrição do Azure.
Nota
A alteração do diretório do Microsoft Entra para a subscrição não é suportada no caso das subscrições de Fornecedores de Soluções Cloud (CSP) do Azure.
Descrição geral
Transferir uma subscrição do Azure para um diretório do Microsoft Entra diferente é um processo complexo que tem de ser cuidadosamente planeado e executado. Muitos serviços do Azure exigem que os princípios de segurança (identidades) operem normalmente ou mesmo gerem outros recursos do Azure. Este artigo tenta cobrir a maioria dos serviços do Azure que dependem fortemente de entidades de segurança, mas não é abrangente.
Importante
Em alguns cenários, a transferência de uma subscrição pode exigir um período de inatividade para concluir o processo. É necessário um planeamento cuidadoso para avaliar se será necessário um período de inatividade para a transferência.
O diagrama a seguir mostra as etapas básicas que você deve seguir ao transferir uma assinatura para um diretório diferente.
Preparar a transferência
Transferir a subscrição do Azure para um diretório diferente
Recriar os recursos no diretório de destino, como atribuições de funções, funções personalizadas e identidades geridas
Decidir se deseja transferir uma assinatura para um diretório diferente
A seguir estão alguns motivos pelos quais você pode querer transferir uma assinatura:
- Devido a uma fusão ou aquisição da empresa, quer gerir uma subscrição adquirida no diretório do Microsoft Entra ID principal.
- Alguém na sua organização criou uma subscrição e pretende consolidar a gestão num diretório do Microsoft Entra específico.
- Tem aplicações que dependem de um ID ou URL de subscrição específico e não é fácil modificar a configuração ou o código da aplicação.
- Uma parte da sua empresa foi dividida numa empresa separada e precisa de mover alguns dos seus recursos para um diretório do diretório do Microsoft Entra.
- Quer gerir alguns dos seus recursos num diretório do Microsoft Entra ID diferente para fins de isolamento de segurança.
Abordagens alternativas
A transferência de uma assinatura requer tempo de inatividade para concluir o processo. Dependendo do cenário, você pode considerar as seguintes abordagens alternativas:
- Recrie os recursos e copie os dados para o diretório de destino e a assinatura.
- Adote uma arquitetura de vários diretórios e deixe a assinatura no diretório de origem. Use o Azure Lighthouse para delegar recursos para que os usuários no diretório de destino possam acessar a assinatura no diretório de origem. Para obter mais informações, consulte Azure Lighthouse em cenários corporativos.
Compreender o impacto da transferência de subscrições
Vários recursos do Azure têm uma dependência de uma assinatura ou de um diretório. Dependendo da sua situação, a tabela a seguir lista o impacto conhecido da transferência de uma assinatura. Executando as etapas neste artigo, você pode recriar alguns dos recursos que existiam antes da transferência de assinatura.
Importante
Esta seção lista os serviços ou recursos conhecidos do Azure que dependem da sua assinatura. Como os tipos de recursos no Azure estão em constante evolução, pode haver dependências adicionais não listadas aqui que podem causar uma alteração significativa no seu ambiente.
| Serviço ou recurso | Impactado | Recuperável | Foi afetado? | O que pode fazer |
|---|---|---|---|---|
| Atribuições de funções | Sim | Sim | Listar atribuições de função | Todas as atribuições de função são excluídas permanentemente. Você deve mapear usuários, grupos e entidades de serviço para objetos correspondentes no diretório de destino. Você deve recriar as atribuições de função. |
| Funções personalizadas | Sim | Sim | Listar funções personalizadas | Todas as funções personalizadas são excluídas permanentemente. Você deve recriar as funções personalizadas e quaisquer atribuições de função. |
| Identidades geridas Atribuídas pelo sistema | Sim | Sim | Listar identidades gerenciadas | Você deve desabilitar e reativar as identidades gerenciadas. Você deve recriar as atribuições de função. |
| Identidades geridas atribuídas pelo utilizador | Sim | Sim | Listar identidades gerenciadas | Você deve excluir, recriar e anexar as identidades gerenciadas ao recurso apropriado. Você deve recriar as atribuições de função. |
| Azure Key Vault | Sim | Sim | Listar políticas de acesso ao Cofre da Chave | Você deve atualizar o ID do locatário associado aos cofres de chaves. Você deve remover e adicionar novas políticas de acesso. |
| Bancos de dados SQL do Azure com a integração de autenticação do Microsoft Entra habilitada | Sim | No | Verifique os bancos de dados SQL do Azure com a autenticação do Microsoft Entra | Não é possível transferir um banco de dados SQL do Azure com a autenticação do Microsoft Entra habilitada para um diretório diferente. Para obter mais informações, veja Utilizar a autenticação do Microsoft Entra. |
| Banco de dados do Azure para MySQL com integração de autenticação do Microsoft Entra habilitada | Sim | No | Não é possível transferir um banco de dados do Azure para MySQL (servidor único e flexível) com a autenticação do Microsoft Entra habilitada para um diretório diferente. | |
| Armazenamento do Azure e Azure Data Lake Storage Gen2 | Sim | Sim | Você deve recriar quaisquer ACLs. | |
| Ficheiros do Azure | Sim | Na maioria dos cenários | Você deve recriar quaisquer ACLs. Para contas de armazenamento com a autenticação Kerberos do Entra habilitada, você deve desabilitar e reativar a autenticação do Entra Kerberos após a transferência. Para os Serviços de Domínio do Entra, não há suporte para a transferência para outro diretório do Microsoft Entra onde os Serviços de Domínio do Entra não estejam habilitados. | |
| Azure File Sync | Sim | Sim | O serviço de sincronização de armazenamento e/ou a conta de armazenamento podem ser movidos para um diretório diferente. Para obter mais informações, consulte Perguntas frequentes sobre os Arquivos do Azure | |
| Managed Disks do Azure | Sim | Sim | Se estiver a utilizar Conjuntos de Encriptação de Disco para encriptar Discos Geridos com chaves geridas pelo cliente, tem de desativar e reativar as identidades atribuídas pelo sistema associadas aos Conjuntos de Encriptação de Disco. E você deve recriar as atribuições de função, ou seja, conceder novamente as permissões necessárias aos Conjuntos de Criptografia de Disco nos Cofres de Chaves. | |
| Azure Kubernetes Service | Sim | No | Não é possível transferir o cluster AKS e os recursos associados para um diretório diferente. Para obter mais informações, consulte Perguntas frequentes sobre o Serviço Kubernetes do Azure (AKS) | |
| Azure Policy | Sim | No | Todos os objetos de Política do Azure, incluindo definições personalizadas, atribuições, isenções e dados de conformidade. | Você deve exportar, importar e reatribuir definições. Em seguida, crie novas atribuições de política e quaisquer isenções de política necessárias. |
| Microsoft Entra Domain Services | Sim | No | Não é possível transferir um domínio gerenciado pelos Serviços de Domínio Microsoft Entra para um diretório diferente. Para obter mais informações, consulte Perguntas freqüentes sobre os Serviços de Domínio do Microsoft Entra | |
| Registos de aplicações | Sim | Sim | ||
| Microsoft Dev Box | Sim | No | Não é possível transferir uma caixa de desenvolvimento e seus recursos associados para um diretório diferente. Depois que uma assinatura for movida para outro locatário, você não poderá executar nenhuma ação em sua caixa de desenvolvimento | |
| Ambientes de Implantação do Azure | Sim | No | Não é possível transferir um ambiente e seus recursos associados para um diretório diferente. Depois que uma assinatura for movida para outro locatário, você não poderá executar nenhuma ação em seu ambiente | |
| Azure Service Fabric | Sim | No | Você deve recriar o cluster. Para obter mais informações, consulte SF Clusters FAQ ou SF Managed Clusters FAQ | |
| Azure Service Bus | Sim | Sim | Você deve excluir, recriar e anexar as identidades gerenciadas ao recurso apropriado. Você deve recriar as atribuições de função. | |
| Espaço de trabalho do Azure Synapse Analytics | Sim | Sim | Você deve atualizar o ID do locatário associado ao espaço de trabalho do Synapse Analytics. Se o espaço de trabalho estiver associado a um repositório Git, você deverá atualizar a configuração do Git do espaço de trabalho. Para obter mais informações, consulte Recuperando o espaço de trabalho do Synapse Analytics após a transferência de uma assinatura para um diretório diferente do Microsoft Entra (locatário). | |
| Azure Databricks | Sim | No | Atualmente, o Azure Databricks não oferece suporte à movimentação de espaços de trabalho para um novo locatário. Para obter mais informações, consulte Gerenciar sua conta do Azure Databricks. | |
| Azure Compute Gallery | Sim | Sim | Replique as versões da imagem na galeria para outras regiões ou copie uma imagem de outra galeria. |
Aviso
Se você estiver usando a criptografia em repouso para um recurso, como uma conta de armazenamento ou banco de dados SQL, que tenha uma dependência de um cofre de chaves que está sendo transferido, isso pode levar a um cenário irrecuperável. Se você tiver essa situação, deverá tomar medidas para usar um cofre de chaves diferente ou desabilitar temporariamente as chaves gerenciadas pelo cliente para evitar esse cenário irrecuperável.
Para obter uma lista de alguns dos recursos do Azure que são afetados quando transfere uma subscrição, também pode executar uma consulta no Azure Resource Graph. Para obter uma consulta de exemplo, consulte Listar recursos afetados ao transferir uma assinatura do Azure.
Pré-requisitos
Para concluir estas etapas, você precisará:
- Bash no Azure Cloud Shell ou CLI do Azure
- Proprietário da conta de cobrança da assinatura que você deseja transferir no diretório de origem
- Uma conta de utilizador no diretório de origem e de destino para o utilizador que faz a alteração do diretório
Passo 1: Preparar a transferência
Entrar no diretório de origem
Entre no Azure como administrador.
Obtenha uma lista das suas subscrições com o comando az account list .
az account list --output tableUse az account set para definir a assinatura ativa que você deseja transferir.
az account set --subscription "Marketing"
Instalar a extensão do Azure Resource Graph
A extensão da CLI do Azure para o Azure Resource Graph, resource-graph, permite que você use o comando az graph para consultar recursos gerenciados pelo Azure Resource Manager. Você usará esse comando em etapas posteriores.
Use az extension list para ver se você tem a extensão resource-graph instalada.
az extension listSe você estiver usando uma versão de visualização ou uma versão mais antiga da extensão de gráfico de recursos, use az extension update para atualizar a extensão.
az extension update --name resource-graphSe a extensão resource-graph não estiver instalada, use az extension add para instalar a extensão.
az extension add --name resource-graph
Salvar todas as atribuições de função
Use az role assignment list para listar todas as atribuições de função (incluindo atribuições de função herdadas).
Para facilitar a revisão da lista, você pode exportar a saída como JSON, TSV ou uma tabela. Para obter mais informações, consulte Listar atribuições de função usando o RBAC do Azure e a CLI do Azure.
az role assignment list --all --include-inherited --output json > roleassignments.json az role assignment list --all --include-inherited --output tsv > roleassignments.tsv az role assignment list --all --include-inherited --output table > roleassignments.txtSalve a lista de atribuições de função.
Quando você transfere uma assinatura, todas as atribuições de função são excluídas permanentemente , por isso é importante salvar uma cópia.
Analise a lista de atribuições de função. Pode haver atribuições de função que você não precisará no diretório de destino.
Salvar funções personalizadas
Use a lista de definição de função az para listar suas funções personalizadas. Para obter mais informações, consulte Criar ou atualizar funções personalizadas do Azure usando a CLI do Azure.
az role definition list --custom-role-only true --output json --query '[].{roleName:roleName, roleType:roleType}'Salve cada função personalizada que você precisará no diretório de destino como um arquivo JSON separado.
az role definition list --name <custom_role_name> > customrolename.jsonFaça cópias dos arquivos de função personalizados.
Modifique cada cópia para usar o seguinte formato.
Você usará esses arquivos posteriormente para recriar as funções personalizadas no diretório de destino.
{ "Name": "", "Description": "", "Actions": [], "NotActions": [], "DataActions": [], "NotDataActions": [], "AssignableScopes": [] }
Determinar mapeamentos de usuário, grupo e entidade de serviço
Com base na sua lista de atribuições de função, determine os usuários, grupos e entidades de serviço para os quais você mapeará no diretório de destino.
Você pode identificar o tipo de entidade examinando a
principalTypepropriedade em cada atribuição de função.Se necessário, no diretório de destino, crie usuários, grupos ou entidades de serviço necessárias.
Listar atribuições de função para identidades gerenciadas
As identidades gerenciadas não são atualizadas quando uma assinatura é transferida para outro diretório. Como resultado, as identidades geridas atribuídas pelo sistema ou pelo utilizador serão quebradas. Após a transferência, você pode reativar todas as identidades gerenciadas atribuídas ao sistema. Para identidades gerenciadas atribuídas pelo usuário, você terá que recriá-las e anexá-las no diretório de destino.
Analise a lista de serviços do Azure que dão suporte a identidades gerenciadas para observar onde você pode estar usando identidades gerenciadas.
Use az ad sp list para listar suas identidades gerenciadas atribuídas pelo sistema e pelo usuário.
az ad sp list --all --filter "servicePrincipalType eq 'ManagedIdentity'"Na lista de identidades gerenciadas, determine quais são atribuídas ao sistema e quais são atribuídas pelo usuário. Você pode usar os seguintes critérios para determinar o tipo.
Critérios Tipo de identidade gerenciada alternativeNamesa propriedade incluiisExplicit=FalseAtribuída pelo sistema alternativeNamespropriedade não incluiisExplicitAtribuída pelo sistema alternativeNamesa propriedade incluiisExplicit=TrueAtribuída pelo utilizador Você também pode usar az identity list para listar apenas identidades gerenciadas atribuídas pelo usuário. Para obter mais informações, consulte Criar, listar ou excluir uma identidade gerenciada atribuída pelo usuário usando a CLI do Azure.
az identity listObtenha uma lista dos
objectIdvalores para suas identidades gerenciadas.Pesquise sua lista de atribuições de função para ver se há atribuições de função para suas identidades gerenciadas.
Listar cofres de chaves
Quando você cria um cofre de chaves, ele é automaticamente vinculado à ID de locatário padrão do Microsoft Entra para a assinatura na qual ele é criado. Todas as entradas de política de acesso também estão associadas a este ID de inquilino. Para obter mais informações, consulte Movendo um Cofre de Chaves do Azure para outra assinatura.
Aviso
Se você estiver usando a criptografia em repouso para um recurso, como uma conta de armazenamento ou banco de dados SQL, que tenha uma dependência de um cofre de chaves que está sendo transferido, isso pode levar a um cenário irrecuperável. Se você tiver essa situação, deverá tomar medidas para usar um cofre de chaves diferente ou desabilitar temporariamente as chaves gerenciadas pelo cliente para evitar esse cenário irrecuperável.
Se você tiver um cofre de chaves, use az keyvault show para listar as políticas de acesso. Para obter mais informações, consulte Atribuir uma política de acesso ao Cofre da Chave.
az keyvault show --name MyKeyVault
Listar bancos de dados SQL do Azure com autenticação do Microsoft Entra
Use az sql server ad-admin list e a extensão az graph para ver se você está usando bancos de dados SQL do Azure com a integração de autenticação do Microsoft Entra habilitada. Para obter mais informações, consulte Configurar e gerenciar a autenticação do Microsoft Entra com SQL.
az sql server ad-admin list --ids $(az graph query -q "resources | where type == 'microsoft.sql/servers' | project id" --query data[*].[id] -o tsv)
Listar ACLs
Se você estiver usando o Azure Data Lake Storage Gen2, liste as ACLs que são aplicadas a qualquer arquivo usando o portal do Azure ou o PowerShell.
Se você estiver usando Arquivos do Azure, liste as ACLs que são aplicadas a qualquer arquivo.
Listar outros recursos conhecidos
Use az account show para obter seu ID de assinatura (em
bash).subscriptionId=$(az account show --output tsv --query id)Use a extensão az graph para listar outros recursos do Azure com dependências de diretório conhecidas do Microsoft Entra (em
bash).az graph query -q 'resources | where type != "microsoft.azureactivedirectory/b2cdirectories" | where identity <> "" or properties.tenantId <> "" or properties.encryptionSettingsCollection.enabled == true | project name, type, kind, identity, tenantId, properties.tenantId' --subscriptions $subscriptionId --output yaml
Passo 2: Transferir a subscrição
Nesta etapa, você transfere a assinatura do diretório de origem para o diretório de destino. As etapas serão diferentes, dependendo se você também deseja transferir a propriedade de faturamento.
Aviso
Quando você transfere a assinatura, todas as atribuições de função no diretório de origem são excluídas permanentemente e não podem ser restauradas. Não poderá voltar atrás depois de transferir a subscrição. Conclua os passos anteriores antes de realizar este passo.
Determine se também quer transferir a propriedade de faturação para outra conta.
Transfira a subscrição para um diretório diferente.
- Se quiser manter a propriedade de faturação atual, siga os passos em Associar ou adicionar uma subscrição do Azure ao inquilino do Microsoft Entra ID.
- Se também quiser transferir a propriedade de faturação, siga os passos em Transferir a propriedade de faturação de uma subscrição do Azure para outra conta. Para transferir a subscrição para um diretório diferente, tem de marcar a caixa de verificação Inquilino do Microsoft Entra ID da subscrição.
Depois de concluir a transferência da assinatura, volte a este artigo para recriar os recursos no diretório de destino.
Etapa 3: recriar recursos
Entrar no diretório de destino
No diretório de destino, entre como o usuário que aceitou a solicitação de transferência.
Somente o usuário da nova conta que aceitou a solicitação de transferência terá acesso para gerenciar os recursos.
Obtenha uma lista das suas subscrições com o comando az account list .
az account list --output tableUse az account set para definir a assinatura ativa que você deseja usar.
az account set --subscription "Contoso"
Criar funções personalizadas
Use az role definition create para criar cada função personalizada a partir dos arquivos criados anteriormente. Para obter mais informações, consulte Criar ou atualizar funções personalizadas do Azure usando a CLI do Azure.
az role definition create --role-definition <role_definition>
Atribuir funções
Use az role assignment create para atribuir funções a usuários, grupos e entidades de serviço. Para obter mais informações, veja Utilizar a CLI do Azure para atribuir funções do Azure.
az role assignment create --role <role_name_or_id> --assignee <assignee> --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
Atualizar identidades gerenciadas atribuídas pelo sistema
Desative e reative as identidades gerenciadas atribuídas ao sistema.
Serviço do Azure Mais informações Máquinas virtuais Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando a CLI do Azure Conjuntos de dimensionamento de máquinas virtuais Configurar identidades gerenciadas para recursos do Azure em um conjunto de dimensionamento de máquina virtual usando a CLI do Azure Outros serviços Serviços que dão suporte a identidades gerenciadas para recursos do Azure Use az role assignment create para atribuir funções a identidades gerenciadas atribuídas pelo sistema. Para obter mais informações, consulte Atribuir um acesso de identidade gerenciado a um recurso usando a CLI do Azure.
az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
Atualizar identidades gerenciadas atribuídas pelo usuário
Exclua, recrie e anexe identidades gerenciadas atribuídas pelo usuário.
Serviço do Azure Mais informações Máquinas virtuais Configurar identidades gerenciadas para recursos do Azure em uma VM do Azure usando a CLI do Azure Conjuntos de dimensionamento de máquinas virtuais Configurar identidades gerenciadas para recursos do Azure em um conjunto de dimensionamento de máquina virtual usando a CLI do Azure Outros serviços Serviços que dão suporte a identidades gerenciadas para recursos do Azure
Criar, listar ou excluir uma identidade gerenciada atribuída pelo usuário usando a CLI do AzureUse az role assignment create para atribuir funções a identidades gerenciadas atribuídas pelo usuário. Para obter mais informações, consulte Atribuir um acesso de identidade gerenciado a um recurso usando a CLI do Azure.
az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
Atualizar cofres de chaves
Esta seção descreve as etapas básicas para atualizar seus cofres de chaves. Para obter mais informações, consulte Movendo um Cofre de Chaves do Azure para outra assinatura.
Atualize o ID do locatário associado a todos os cofres de chaves existentes na assinatura do diretório de destino.
Remover todas as entradas de política de acesso existentes.
Adicione novas entradas de política de acesso associadas ao diretório de destino.
Atualizar ACLs
Se você estiver usando o Azure Data Lake Storage Gen2, atribua as ACLs apropriadas. Para obter mais informações, veja Controlo de acesso no Azure Data Lake Storage Gen2.
Se você estiver usando Arquivos do Azure, atribua as ACLs apropriadas.
Rever outros métodos de segurança
Embora as atribuições de função sejam removidas durante a transferência, os usuários na conta de proprietário original podem continuar a ter acesso à assinatura por meio de outros métodos de segurança, incluindo:
- As chaves de acesso para serviços, como o Armazenamento.
- Certificados de gerenciamento que concedem ao administrador do usuário acesso aos recursos de assinatura.
- As credenciais de Acesso Remoto para serviços, como as Máquinas Virtuais do Azure.
Se sua intenção for remover o acesso dos usuários no diretório de origem para que eles não tenham acesso no diretório de destino, você deve considerar a rotação de quaisquer credenciais. Até que as credenciais sejam atualizadas, os usuários continuarão a ter acesso após a transferência.
Gire as chaves de acesso da conta de armazenamento. Para obter mais informações, consulte Gerenciar chaves de acesso da conta de armazenamento.
Se você estiver usando chaves de acesso para outros serviços, como o Banco de Dados SQL do Azure ou o Azure Service Bus Messaging, gire as chaves de acesso.
Para recursos que usam segredos, abra as configurações do recurso e atualize o segredo.
Para recursos que usam certificados, atualize o certificado.