Styrningsguide för Azure-landningszoner: Migrera Principer för Azure-landningszoner till inbyggda Azure-principer

Med tiden kan anpassade principer och principinitiativ i Azure-landningszonen vara inaktuella eller ersatta av inbyggda Azure-principer. I så fall bör de tas bort eller migreras. Den här artikeln beskriver hur du migrerar anpassade principer och principinitiativ för Azure-landningszoner till inbyggda Azure-principer.

Vägledningen i det här dokumentet beskriver de manuella stegen på hög nivå för din principmigrering. Den innehåller även referenser till hur du bearbetar implementeringar som hanteras via Terraform-modulen i Azure-landningszonen eller ALZ-Bicep.

Följande informationsgrafik visar uppdateringsprocessens flöde.

Manuella uppdateringssteg för Azure-landningszonmiljöer

I det här avsnittet beskrivs de allmänna stegen på hög nivå för att migrera anpassade principer och initiativ för Azure-landningszoner till inbyggda Azure-principer.

Identifiera uppdateringar för Principer för Azure-landningszoner

Du kan upptäcka att en eller flera azure-landningszonprinciper ersätts av inbyggda Azure-principer med följande alternativ:

• Granska regelbundet Azure Enterprise Scale What's new wiki och notera alla principer som anges som ersatta. Se ett exempel på en ersatt princip här.
• Använd Azure Governance Visualizer-skriptet och notera alla principer som har markerats som föråldrade.

Migreringssteg för Azure-landningszonsprinciper

Du kan migrera Azure-landningszonmiljöer med följande steg:

1. Kontrollera om azure-landningszonens principer i omfånget för migrering för närvarande har tilldelats i något omfång i din Azure-egendom. Om du använder Azure Governance Visualizer kan du fastställa principomfånget genom att kontrollera TenantSummary.
2. Kontrollera om principerna för Azure-landningszonen som migreras ingår i ett initiativ för anpassad princip för landningszoner som ska uppdateras.
3. Se om anpassade principinitiativ för Azure-landningszoner i omfånget för migrering för närvarande har tilldelats i något omfång i din Azure-egendom.

Beroende på resultatet av undersökningen vidtar du följande åtgärder.

Principer som inte har tilldelats och inte ingår i initiativet för anpassad princip i Azure-landningszonen

Om principen som migreras inte har tilldelats i din Azure-egendom och inte ingår i ett befintligt initiativ för anpassad princip i Azure-landningszonen, kan du:

• Ta bort principdefinitionen för Azure-landningszonen från den mellanliggande rothanteringsgruppen i Azure-landningszonen (till exempel Contoso).

Om ett initiativ för anpassad princip i Azure-landningszonen helt ersätts av ett inbyggt principinitiativ och inte har tilldelats i din Azure-egendom:

• Ta bort initiativet för anpassad princip för Azure-landningszonen från den mellanliggande rothanteringsgruppen i Azure-landningszonen (till exempel Contoso).

Tilldelade principer och inte en del av initiativet för anpassad princip i Azure-landningszonen

Om principen som ska migreras tilldelas till något omfång i din Azure-egendom och inte ingår i ett befintligt initiativ för anpassad princip för Azure-landningszoner gör du följande:

1. Skapa nya principtilldelningar med samma omfång med hjälp av inbyggda Azure-principer med matchande inställningar enligt tilldelningen av den tidigare anpassade principdefinitionen för Azure-landningszonen.
2. Ta bort befintliga principtilldelningar för Azure-landningszoner i alla omfång, där de har tilldelats.
3. Ta bort principdefinitionen för Azure-landningszonen från den mellanliggande rothanteringsgruppen i Azure-landningszonen (till exempel Contoso).

Detaljerad vägledning om hur du utför föregående steg finns i Migrera anpassad princip för en enskild Azure-landningszon.

Principer som tilldelats via initiativ för anpassad princip i Azure-landningszonen

Om principen som ska migreras är en del av ett initiativ för anpassad princip för Azure-landningszoner och tilldelas via den i något omfång i din Azure-egendom följer du dessa steg:

1. Uppdatera den anpassade principinitiativdefinitionen för Azure-landningszonen med lämpliga principreferenser. Du hittar de uppdaterade initiativen här med ett allmänt contoso-omfång för anpassade principer.
2. När du uppdaterar principreferenserna bör du komma ihåg att ändra contoso-omfånget för principdefinitions-ID:t till pseudorotnamnet för hanteringsgruppens hierarki. Uppdatera även metadatainformationen för initiativet anpassad princip i Azure-landningszonen.

Detaljerad vägledning om hur du utför föregående steg finns i Så här uppdaterar du underordnade definitioner i anpassade initiativ för Azure-landningszoner.

Om ett initiativ för anpassad princip i Azure-landningszonen helt ersätts av ett inbyggt principinitiativ och tilldelas i något omfång i din Azure-egendom följer du dessa steg:

1. Skapa nya principinitiativtilldelningar i samma omfång. Använd det inbyggda Azure-principinitiativet med matchande inställningar per tilldelning av det tidigare anpassade principinitiativet för Azure-landningszonen.
2. Ta bort den befintliga principinitiativtilldelningen för Azure-landningszoner i alla omfång, där den har tilldelats.
3. Ta bort initiativet för anpassad princip för Azure-landningszonen från den mellanliggande rothanteringsgruppen i Azure-landningszonen (till exempel Contoso).

Uppdatera steg för Distributioner av Terraform-moduler i Azure-landningszonen

Om du använder Terraform-modulen i Azure-landningszonen för att hantera distributionen av Din Azure-landningszon refererar det här avsnittet till resurser om hur du migrerar anpassade principer och initiativ för Azure-landningszoner till inbyggda Azure-principer.

Identifiera uppdateringar för Ändringar i Terraform-modulen

Använd metoderna som beskrivs i Identifiera uppdateringar för Azure-landningszonprinciper för att avgöra om principerna har ändrats i Terraform-modulen. Du kommer också att se ändringar i principer på sidan Terraform-versioner i Azure-landningszonen. Se ett exempel här.

Migreringssteg för Terraform-modulen i Azure-landningszonen

Terraform-modulen i Azure-landningszonen ger uppdateringsvägledning när du distribuerar icke-bakåtkompatibla ändringar. Följ uppgraderingsguiden som är tillgänglig för din specifika version här längst ned på sidan.

Uppdateringssteg för ALZ-Bicep-distributioner

Om du använder ALZ-Bicep för att hantera distributionen av Din Azure-landningszon refererar det här avsnittet till resurser om hur du migrerar anpassade principer och initiativ för Azure-landningszoner till inbyggda Azure-principer.

Identifiera uppdateringar för ALZ-Bicep-principändringar

Använd metoderna som beskrivs i Identifiera uppdateringar för Azure-landningszonprinciper för att avgöra om principerna har ändrats i ALZ-Bicep. Du kommer också att se ändringar i principer i ALZ-Bicep-versioner.

Migreringssteg för ALZ-Bicep-principer

ALZ-Bicep ger allmän vägledning för att migrera principer från anpassade principer för Azure-landningszoner till inbyggda Azure-principer. Mer information finns i Så här migrerar du anpassade principer för Azure-landningszoner till inbyggda Azure-principer.

Nästa steg

Oavsett om du använder Azure-portalen, Bicep eller Terraform för att hantera din Infrastruktur för Azure-landningszoner ändras principerna över tid. Du måste hantera dem. Använd flödet som beskrivs i den här artikeln som utgångspunkt för att utveckla processer kring principhantering för din specifika implementering av Azure-landningszoner.