Перенос ресурсов идентификаторов в глобальную среду Azure

  • Статья

Важно!

С августа 2018 г. мы не принимаем новых клиентов и не развертываем новые функции и службы в исходных расположениях Microsoft Cloud Germany.

В соответствии с развитием потребностей клиентов мы недавно запустили два новых региона для центров обработки данных в Германии, предоставляя клиентам место расположения данных, полное подключение к глобальной облачной сети Майкрософт, а также конкурентные цены.

Кроме того, 30 сентября 2020 г. мы объявили, что Microsoft Cloud Germany будет закрыто 29 октября 2021 г. Дополнительные сведения можно найти здесь: https://www.microsoft.com/cloud-platform/germany-cloud-regions.

Воспользуйтесь преимуществами широты функциональности, безопасности корпоративного уровня и комплексных функций, доступных в новых регионах центров обработки данных в Германии, осуществив миграцию уже сегодня.

В этой статье содержатся полезные сведения о миграции ресурсов идентификаторов Azure из Azure для Германии в глобальную среду Azure.

Руководство по идентификаторам и клиентам предназначено только для клиентов Azure. При использовании стандартных клиентов Azure Active Directory (Azure AD) для Azure и Microsoft 365 (или других продуктов Майкрософт) существуют сложности при миграции идентификаторов. Прежде чем использовать это руководство по миграции, необходимо обратиться к менеджеру учетных записей.

Azure Active Directory

Azure AD в Azure для Германии отделяется от Azure AD в глобальной среде Azure. В настоящее время невозможно переместить пользователей Azure AD из Azure для Германии в глобальную среду Azure.

Имена клиентов по умолчанию в Azure для Германии и в глобальной среде Azure всегда отличаются, так как Azure автоматически добавляет суффикс на основе среды. Например, имя пользователя для члена клиента contoso в глобальной Azure — user1@contoso.microsoftazure.com . В Azure для user1@contoso.microsoftazure.de Германии это.

При использовании имен личных доменов (например, contoso.com) в Azure AD необходимо зарегистрировать доменное имя в Azure. Имена личных доменов можно одновременно определить только в одной облачной среде. Проверка домена не выполняется, если домен уже зарегистрирован в любом экземпляре Azure Active Directory. Например, пользователь user1@contoso.com , который находится в Azure для Германии, также не может существовать в глобальном каталоге Azure с тем же именем. Регистрация contoso.com завершится неудачно.

При "мягкой" миграции, в которой некоторые пользователи уже находятся в новой среде, а некоторые по-прежнему в старой среде, для разных облачных сред требуются разные имена для входа.

В этой статье не рассматривается каждый из возможных сценариев миграции. Рекомендация зависит, например, от подготовки пользователей, от параметров, используемых для различных имен пользователей или имен субъекта-пользователя, и других зависимостей. В то же время мы составили несколько советов по инвентаризации пользователей и групп в текущей среде.

Чтобы получить список всех командлетов, связанных с Azure AD, выполните:

Get-Help Get-AzureAD*

Пользователи инвентаризации

Чтобы получить общие сведения обо всех пользователях и группах, существующих в вашем экземпляре Azure AD, выполните следующие действия.

Get-AzureADUser -All $true

Чтобы вывести список только включенных учетных записей, добавьте следующий фильтр:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}

Чтобы создать полный дамп всех атрибутов, на случай, если вы что-то забыли:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *

Чтобы выбрать атрибуты, необходимые для повторного создания пользователей, выполните следующие действия.

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname

Чтобы экспортировать список в таблицу Excel, воспользуйтесь командлетом Export-Csv, приведенным в конце этого списка. Вид выполненного экспорта может быть следующим:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8

Примечание

Миграция паролей невозможна. Вместо этого необходимо назначить новые пароли или использовать механизм самообслуживания в зависимости от сценария.

Кроме того, в зависимости от вашей среды, возможно, вам потребуется собрать другую информацию, например значения для параметров Расширения, DirectReport или LicenseDetail.

При необходимости отформатируйте CSV-файл. Затем выполните действия, указанные в данных импорта из файла CSV, чтобы заново создать пользователей в новой среде.

Группы инвентаризации

Для документирования членства в группах:

Get-AzureADGroup

Чтобы получить список членов каждой группы, выполните следующие действия.

Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}

Субъекты-службы инвентаризации и приложения

Хотя необходимо повторно создать все субъекты-службы и приложения, рекомендуется регистрировать состояние субъектов-служб и приложений. Для получения достаточно большого списка всех субъектов-служб можно использовать следующие командлеты:

Get-AzureADServicePrincipal |Format-List *

Get-AzureADApplication |Format-List *

Дополнительные сведения можно получить с помощью других командлетов, начинающихся сGet-AzureADServicePrincipal* или Get-AzureADApplication*.

Роли каталога инвентаризации

Чтобы документировать текущее назначение ролей, выполните следующие действия.

Get-AzureADDirectoryRole

Пройдите по каждой роли, чтобы найти пользователей или приложения, связанные с ней:

Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}

Дополнительные сведения

Azure AD Connect

Azure AD Connect — это инструмент, который синхронизирует данные об идентификаторах между локальным экземпляром Active Directory и Azure Active Directory (Azure AD). Текущая версия Azure AD Connect работает как в Azure для Германии, так и в глобальной среде Azure. Azure AD Connect может синхронизироваться только с одним экземпляром Azure AD за раз. Если необходимо синхронизировать с Azure для Германии и с глобальной средой Azure одновременно, рассмотрите следующие варианты.

  • Используйте дополнительный сервер для второго экземпляра Azure AD Connect. На одном сервере невозможно использовать несколько экземпляров Azure AD Connect.
  • Определите новое имя для входа пользователей. Часть домена (после @ ) имени для входа должна быть различной в каждой среде.
  • При обратной синхронизации (из Azure AD в локальную службу Active Directory) необходимо четко определить "источник истинности".

Если вы уже используете Azure AD Connect для синхронизации с Azure для Германии и обратно, обязательно перенесите всех пользователей, созданных вручную. Следующий командлет PowerShell выводит список всех пользователей, которые не синхронизированы с помощью Azure AD Connect:

Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}

Дополнительные сведения

Многофакторная идентификация

Необходимо повторно создать пользователей и переопределить свой экземпляр многофакторной проверки подлинности Azure AD в новой среде.

Чтобы вывести список учетных записей пользователей, для которых включена или применяется многофакторная проверка подлинности:

  1. Войдите на портал Azure.
  2. Выберите Пользователи>Все пользователи>Многофакторная проверка подлинности.
  3. При перенаправлении на страницу службы многофакторной проверки подлинности настройте соответствующие фильтры для получения списка пользователей.

Дополнительные сведения

Следующие шаги

Изучите инструменты, методы и рекомендации по миграции ресурсов в следующих категориях служб: