Sdílet prostřednictvím


Viz Převod předplatného Azure do jiného adresáře Microsoft Entra.

Organizace můžou mít několik předplatných Azure. Každé předplatné je přidružené ke konkrétnímu adresáři Microsoft Entra. Za účelem zjednodušení správy můžete chtít nějaké předplatné převést do jiného adresáře Microsoft Entra. Při přesunu předplatného do jiného adresáře Microsoft Entra se některé prostředky nepřenesou do cílového adresáře. Například všechna přiřazení rolí a vlastní role v řízení přístupu na základě role v Azure (Azure RBAC) se trvale odstraní ze zdrojového adresáře a nepřenesou se do cílového adresáře.

Tento článek popisuje základní kroky, podle kterých můžete převést předplatné do jiného adresáře Microsoft Entra a po převodu znovu vytvořit některé prostředky.

Pokud chcete místo toho zablokovat přenos předplatných do různých adresářů ve vaší organizaci, můžete nakonfigurovat zásady předplatného. Další informace najdete v tématu Správa zásad předplatného Azure.

Poznámka:

Předplatná programu Azure Cloud Solution Provider (CSP) nepodporují změnu adresáře Microsoft Entra.

Přehled

Převod předplatného Azure do jiného adresáře Microsoft Entra je složitý proces, který je potřeba pečlivě naplánovat a provést. Řada služeb Azure k normálnímu fungování nebo ke správě dalších prostředků Azure vyžaduje objekty zabezpečení (identity). Tento článek se snaží pokrýt většinu služeb Azure, které jsou silně závislé na objektech zabezpečení, ale nejsou komplexní.

Důležité

V některých scénářích může při převodu předplatného dojít k výpadku. Aby bylo možné posoudit, jestli při převodu dojde k výpadku, je potřeba převod pečlivě naplánovat.

Následující diagram znázorňuje základní kroky, které musíte provést při převodu předplatného do jiného adresáře.

  1. Příprava na převod

  2. Převod předplatného Azure do jiného adresáře

  3. Opětovné vytvoření prostředků, jako jsou přiřazení rolí, vlastní role a spravované identity, v cílovém adresáři

    Diagram převodu předplatného

Rozhodnutí o převodu předplatného do jiného adresáře

Tady je několik důvodů, proč můžete chtít předplatné převést:

  • Kvůli fúzi nebo akvizici společnosti chcete spravovat získané předplatné v primárním adresáři Microsoft Entra.
  • Někdo ve vaší organizaci vytvořil předplatné a vy chcete konsolidovat správu do konkrétního adresáře Microsoft Entra.
  • Máte aplikace, které závisí na konkrétním ID nebo adrese URL předplatného, a není snadné upravit konfiguraci nebo kód aplikace.
  • Část vaší firmy je rozdělená do samostatné společnosti a některé prostředky potřebujete přesunout do jiného adresáře Microsoft Entra.
  • Chcete spravovat některé prostředky v jiném adresáři Microsoft Entra za účely izolace zabezpečení.

Alternativní přístupy

Převod předplatného vyžaduje pro dokončení procesu výpadek. V závislosti na vašem scénáři můžete zvážit následující alternativní přístupy:

  • Znovu vytvořte prostředky a zkopírujte data do cílového adresáře a předplatného.
  • Přijměte architekturu s více adresáři a ponechte předplatné ve zdrojovém adresáři. Pomocí Azure Lighthouse delegujte prostředky tak, aby uživatelé v cílovém adresáři mohli přistupovat k předplatnému ve zdrojovém adresáři. Další informace najdete v tématu Azure Lighthouse v podnikových scénářích.

Pochopení dopadu převodu předplatného

Několik prostředků Azure je závislé na předplatném nebo adresáři. V závislosti na vaší situaci uvádí následující tabulka známý dopad převodu předplatného. Provedením kroků v tomto článku můžete znovu vytvořit některé prostředky, které existovaly před převodem předplatného.

Důležité

Tato část obsahuje seznam známých služeb nebo prostředků Azure, které závisí na vašem předplatném. Vzhledem k tomu, že se typy prostředků v Azure neustále vyvíjejí, můžou se zde vyskytovat další závislosti, které můžou způsobit zásadní změnu vašeho prostředí.

Služba nebo prostředek Vyražený Dobytný Týká se vás to? Co můžete dělat
Přiřazení rolí Ano Yes Výpis přiřazení rolí Všechna přiřazení rolí se trvale odstraní. Uživatele, skupiny a instanční objekty musíte mapovat na odpovídající objekty v cílovém adresáři. Musíte znovu vytvořit přiřazení rolí.
Vlastní role Ano Yes Výpis vlastních rolí Všechny vlastní role se trvale odstraní. Musíte znovu vytvořit vlastní role a všechna přiřazení rolí.
Spravované identity přiřazené systémem Ano Yes Výpis spravovaných identit Spravované identity musíte zakázat a znovu povolit. Musíte znovu vytvořit přiřazení rolí.
Spravované identity přiřazené uživatelem Ano Yes Výpis spravovaných identit Musíte odstranit, znovu vytvořit a připojit spravované identity k příslušnému prostředku. Musíte znovu vytvořit přiřazení rolí.
Azure Key Vault Ano Yes Výpis zásad přístupu ke službě Key Vault Musíte aktualizovat ID tenanta přidružené k trezorům klíčů. Musíte odebrat a přidat nové zásady přístupu.
Databáze Azure SQL s povolenou integrací ověřování Microsoft Entra Yes No Kontrola databází Azure SQL s ověřováním Microsoft Entra Databázi Azure SQL s povoleným ověřováním Microsoft Entra nemůžete přenést do jiného adresáře. Další informace najdete v části věnované používání ověřování Microsoft Entra.
Azure Database for MySQL s povolenou integrací ověřování Microsoft Entra Yes No Službu Azure Database for MySQL (jednoúčelový a flexibilní server) s povoleným ověřováním Microsoft Entra nemůžete přenést do jiného adresáře.
Flexibilní server Azure Database for PostgreSQL s povolenou integrací ověřování Microsoft Entra nebo s povoleným klíčem spravovaným zákazníkem Yes No Službu Azure Database for PostgreSQL s ověřováním Microsoft Entra nebo klíčem spravovaným zákazníkem nemůžete přenést do jiného adresáře. Tyto funkce musíte nejprve zakázat, převést server a pak tyto funkce znovu povolit.
Azure Storage a Azure Data Lake Storage Gen2 Ano Yes Musíte znovu vytvořit všechny seznamy ACL.
Soubory Azure Ano Ve většině scénářů Musíte znovu vytvořit všechny seznamy ACL. U účtů úložiště s povoleným ověřováním Entra Kerberos je nutné po přenosu zakázat a znovu povolit ověřování protokolem Entra Kerberos. V případě služby Entra Domain Services není podporován přenos do jiného adresáře Microsoft Entra, ve kterém není povolená služba Entra Domain Services.
Synchronizace souborů Azure Ano Yes Synchronizační služba úložiště nebo účet úložiště je možné přesunout do jiného adresáře. Další informace najdete v tématu Nejčastější dotazy ke službě Azure Files.
Spravované disky Azure Ano Yes Pokud k šifrování Spravované disky pomocí klíčů spravovaných zákazníkem používáte sady šifrování disků, musíte zakázat a znovu povolit identity přiřazené systémem přidružené k sadám šifrování disků. A musíte znovu vytvořit přiřazení rolí, tj. znovu udělit požadovaná oprávnění pro disk Encryption Sets ve službě Key Vaults.
Azure Kubernetes Service Yes No Cluster AKS a jeho přidružené prostředky nemůžete přenést do jiného adresáře. Další informace najdete v tématu Nejčastější dotazy ke službě Azure Kubernetes Service (AKS).
Azure Policy Yes No Všechny objekty Azure Policy, včetně vlastních definic, přiřazení, výjimek a dat dodržování předpisů. Je nutné exportovat, importovat a znovu přiřadit definice. Pak vytvořte nová přiřazení zásad a případné potřebné výjimky ze zásad.
Microsoft Entra Domain Services Yes No Spravovanou doménu služby Microsoft Entra Domain Services nelze přenést do jiného adresáře. Další informace najdete v tématu Nejčastější dotazy týkající se služby Microsoft Entra Domain Services.
Registrace aplikací Ano Yes
Microsoft Dev Box Yes No Vývojové pole a jeho přidružené prostředky nemůžete přenést do jiného adresáře. Jakmile se předplatné přesune do jiného tenanta, nebudete moct s vývojovým polem provádět žádné akce.
Prostředí nasazení Azure Yes No Nemůžete přenést prostředí a jeho přidružené prostředky do jiného adresáře. Jakmile se předplatné přesune do jiného tenanta, nebudete moct ve svém prostředí provádět žádné akce.
Azure Service Fabric Yes No Cluster musíte znovu vytvořit. Další informace najdete v nejčastějších dotazech ke clusterům SF nebo nejčastější dotazy ke spravovaným clusterům SF.
Azure Service Bus Ano Yes Musíte odstranit, znovu vytvořit a připojit spravované identity k příslušnému prostředku. Musíte znovu vytvořit přiřazení rolí.
Pracovní prostor Azure Synapse Analytics Ano Yes Musíte aktualizovat ID tenanta přidruženého k pracovnímu prostoru Synapse Analytics. Pokud je pracovní prostor přidružený k úložišti Git, musíte aktualizovat konfiguraci Git pracovního prostoru. Další informace najdete v tématu Obnovení pracovního prostoru Synapse Analytics po převodu předplatného do jiného adresáře Microsoft Entra (tenanta).
Azure Databricks Yes No Azure Databricks v současné době nepodporuje přesun pracovních prostorů do nového tenanta. Další informace najdete v tématu Správa účtu Azure Databricks.
Azure Compute Gallery Ano Yes Replikujte verze imagí v galerii do jiných oblastí nebo zkopírujte image z jiné galerie.

Upozorňující

Pokud používáte šifrování neaktivních uložených uložených dat pro prostředek, jako je účet úložiště nebo databáze SQL, který má závislost na přeneseném trezoru klíčů, může to vést k neopravitelnému scénáři. Pokud máte tuto situaci, měli byste podniknout kroky pro použití jiného trezoru klíčů nebo dočasně zakázat klíče spravované zákazníkem, abyste se vyhnuli tomuto neopravitelnému scénáři.

Pokud chcete získat seznam některých prostředků Azure, které jsou ovlivněné při převodu předplatného, můžete také spustit dotaz v Azure Resource Graphu. Ukázkový dotaz najdete v tématu Seznam ovlivněných prostředků při přenosu předplatného Azure.

Požadavky

K provedení těchto kroků budete potřebovat:

  • Bash v Azure Cloud Shellu nebo Azure CLI
  • Vlastník fakturačního účtu předplatného, které chcete převést ve zdrojovém adresáři
  • Uživatelský účet uživatele, který provádí změnu adresáře, ve zdrojovém i v cílovém adresáři

Krok 1: Příprava na převod

Přihlášení ke zdrojovému adresáři

  1. Přihlaste se k Azure jako správce.

  2. Seznam předplatných získáte pomocí příkazu az account list .

    az account list --output table
    
  3. Pomocí příkazu az account set nastavte aktivní předplatné, které chcete převést.

    az account set --subscription "Marketing"
    

Instalace rozšíření Azure Resource Graph

Rozšíření Azure CLI pro Azure Resource Graph, resource-graph, umožňuje použít příkaz az graph k dotazování prostředků spravovaných Azure Resource Managerem. Tento příkaz použijete v dalších krocích.

  1. Pomocí příkazu az extension list zjistěte, jestli máte nainstalované rozšíření resource-graph .

    az extension list
    
  2. Pokud používáte verzi Preview nebo starší verzi rozšíření resource-graph , aktualizujte rozšíření pomocí příkazu az extension update .

    az extension update --name resource-graph
    
  3. Pokud rozšíření resource-graph není nainstalované, nainstalujte rozšíření pomocí příkazu az extension add.

    az extension add --name resource-graph
    

Uložení všech přiřazení rolí

  1. Seznam přiřazení rolí použijte k výpisu všech přiřazení rolí (včetně zděděných přiřazení rolí).

    Abyste si usnadnili kontrolu seznamu, můžete výstup exportovat jako JSON, TSV nebo tabulku. Další informace najdete v tématu Výpis přiřazení rolí pomocí Azure RBAC a Azure CLI.

    az role assignment list --all --include-inherited --output json > roleassignments.json
    az role assignment list --all --include-inherited --output tsv > roleassignments.tsv
    az role assignment list --all --include-inherited --output table > roleassignments.txt
    
  2. Uložte seznam přiřazení rolí.

    Při převodu předplatného se všechna přiřazení rolí trvale odstraní, takže je důležité uložit kopii.

  3. Zkontrolujte seznam přiřazení rolí. V cílovém adresáři možná nebudete potřebovat přiřazení rolí.

Uložení vlastních rolí

  1. Pomocí seznamu definic rolí az vypíšete vlastní role. Další informace najdete v tématu Vytvoření nebo aktualizace vlastních rolí Azure pomocí Azure CLI.

    az role definition list --custom-role-only true --output json --query '[].{roleName:roleName, roleType:roleType}'
    
  2. Uložte každou vlastní roli, kterou budete potřebovat v cílovém adresáři, jako samostatný soubor JSON.

    az role definition list --name <custom_role_name> > customrolename.json
    
  3. Vytvořte kopie vlastních souborů rolí.

  4. Upravte každou kopii tak, aby používala následující formát.

    Tyto soubory použijete později k opětovnému vytvoření vlastních rolí v cílovém adresáři.

    {
      "Name": "",
      "Description": "",
      "Actions": [],
      "NotActions": [],
      "DataActions": [],
      "NotDataActions": [],
      "AssignableScopes": []
    }
    

Určení mapování uživatelů, skupin a instančních objektů

  1. Na základě vašeho seznamu přiřazení rolí určete uživatele, skupiny a instanční objekty, na které budete mapovat v cílovém adresáři.

    Typ objektu zabezpečení můžete identifikovat tak, že se podíváte na principalType vlastnost v každém přiřazení role.

  2. V případě potřeby vytvořte v cílovém adresáři všechny uživatele, skupiny nebo instanční objekty, které budete potřebovat.

Výpis přiřazení rolí pro spravované identity

Spravované identity se neaktualizují, když se předplatné přenese do jiného adresáře. Proto všechny stávající spravované identity přiřazené systémem nebo uživatelem přestanou fungovat. Po převodu můžete znovu povolit všechny spravované identity přiřazené systémem. U spravovaných identit přiřazených uživatelem budete muset znovu vytvořit a připojit je v cílovém adresáři.

  1. Projděte si seznam služeb Azure, které podporují spravované identity, a poznamenejte si, kde můžete používat spravované identity.

  2. Pomocí příkazu az ad sp list vypíšete spravované identity přiřazené systémem a přiřazené uživatelem.

    az ad sp list --all --filter "servicePrincipalType eq 'ManagedIdentity'"
    
  3. V seznamu spravovaných identit určete, které jsou přiřazené systémem a které jsou přiřazené uživatelem. K určení typu můžete použít následující kritéria.

    Kritéria Typ spravované identity
    alternativeNames vlastnost zahrnuje isExplicit=False Přiřazeno systémem
    alternativeNames vlastnost nezahrnuje isExplicit Přiřazeno systémem
    alternativeNames vlastnost zahrnuje isExplicit=True Přiřazeno uživatelem

    Pomocí příkazu az identity list můžete také vypsat spravované identity přiřazené uživatelem. Další informace najdete v tématu Vytvoření, výpis nebo odstranění spravované identity přiřazené uživatelem pomocí Azure CLI.

    az identity list
    
  4. Získejte seznam objectId hodnot pro spravované identity.

  5. Vyhledejte seznam přiřazení rolí a zjistěte, jestli pro spravované identity existují nějaká přiřazení rolí.

Výpis trezorů klíčů

Když vytvoříte trezor klíčů, automaticky se sváže s výchozím ID tenanta Microsoft Entra pro předplatné, ve kterém se vytvoří. Zároveň jsou k tomuto ID tenanta vázány i všechny položky zásad přístupu. Další informace najdete v tématu Přesun služby Azure Key Vault do jiného předplatného.

Upozorňující

Pokud používáte šifrování neaktivních uložených uložených dat pro prostředek, jako je účet úložiště nebo databáze SQL, který má závislost na přeneseném trezoru klíčů, může to vést k neopravitelnému scénáři. Pokud máte tuto situaci, měli byste podniknout kroky pro použití jiného trezoru klíčů nebo dočasně zakázat klíče spravované zákazníkem, abyste se vyhnuli tomuto neopravitelnému scénáři.

  • Pokud máte trezor klíčů, pomocí příkazu az keyvault show zobrazte seznam zásad přístupu. Další informace najdete v tématu Přiřazení zásad přístupu ke službě Key Vault.

    az keyvault show --name MyKeyVault
    

Výpis databází Azure SQL s ověřováním Microsoft Entra

Seznamy ACL seznamu

  1. Pokud používáte Azure Data Lake Storage Gen2, zobrazte seznam seznamů ACL použitých pro jakýkoli soubor pomocí webu Azure Portal nebo PowerShellu.

  2. Pokud používáte Službu Azure Files, uveďte seznamy ACL, které se použijí pro libovolný soubor.

Výpis dalších známých prostředků

  1. Pomocí příkazu az account show získejte ID vašeho předplatného (in bash).

    subscriptionId=$(az account show --output tsv --query id)
    
  2. Pomocí rozšíření az graph můžete vypsat další prostředky Azure se známými závislostmi adresáře Microsoft Entra (vbash).

    az graph query -q 'resources 
        | where type != "microsoft.azureactivedirectory/b2cdirectories" 
        | where  identity <> "" or properties.tenantId <> "" or properties.encryptionSettingsCollection.enabled == true 
        | project name, type, kind, identity, tenantId, properties.tenantId' --subscriptions $subscriptionId --output yaml
    

Krok 2: Převod předplatného

V tomto kroku přenesete předplatné ze zdrojového adresáře do cílového adresáře. Postup se bude lišit v závislosti na tom, jestli chcete převést vlastnictví fakturace.

Upozorňující

Při přenosu předplatného se všechna přiřazení rolí ve zdrojovém adresáři trvale odstraní a nelze je obnovit. Převedené předplatné nejde vrátit zpět. Před tímto krokem nezapomeňte dokončit předchozí kroky.

  1. Rozhodněte se, jestli chcete do jiného účtu převést i vlastnictví fakturace.

  2. Převeďte předplatné do jiného adresáře.

  3. Jakmile dokončíte převod předplatného, vraťte se k tomuto článku a znovu vytvořte prostředky v cílovém adresáři.

Krok 3: Opětovné vytvoření prostředků

Přihlášení k cílovému adresáři

  1. V cílovém adresáři se přihlaste jako uživatel, který přijal žádost o převod.

    Ke správě prostředků bude mít přístup pouze uživatel v novém účtu, který žádost o převod přijal.

  2. Seznam předplatných získáte pomocí příkazu az account list .

    az account list --output table
    
  3. Pomocí příkazu az account set nastavte aktivní předplatné, které chcete použít.

    az account set --subscription "Contoso"
    

Vytváření vlastních rolí

Přiřazení rolí

Aktualizace spravovaných identit přiřazených systémem

  1. Zakažte a znovu povolte spravované identity přiřazené systémem.

    Služba Azure Více informací
    Virtuální počítače Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí Azure CLI
    Škálovací sady virtuálních počítačů Konfigurace spravovaných identit pro prostředky Azure ve škálovací sadě virtuálních počítačů pomocí Azure CLI
    Další služby Služby, které podporují spravované identity pro prostředky Azure
  2. Pomocí příkazu az role assignment create přiřaďte role spravovaným identitám přiřazeným systémem. Další informace najdete v tématu Přiřazení přístupu ke spravované identitě k prostředku pomocí Azure CLI.

    az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
    

Aktualizace spravovaných identit přiřazených uživatelem

  1. Odstraňte, znovu vytvořte a připojte spravované identity přiřazené uživatelem.

    Služba Azure Více informací
    Virtuální počítače Konfigurace spravovaných identit pro prostředky Azure na virtuálním počítači Azure pomocí Azure CLI
    Škálovací sady virtuálních počítačů Konfigurace spravovaných identit pro prostředky Azure ve škálovací sadě virtuálních počítačů pomocí Azure CLI
    Další služby Služby, které podporují spravované identity pro prostředky Azure
    Vytvoření, výpis nebo odstranění spravované identity přiřazené uživatelem pomocí Azure CLI
  2. Pomocí příkazu az role assignment create přiřaďte role spravovaným identitám přiřazeným uživatelem. Další informace najdete v tématu Přiřazení přístupu ke spravované identitě k prostředku pomocí Azure CLI.

    az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
    

Aktualizace trezorů klíčů

Tato část popisuje základní kroky pro aktualizaci trezorů klíčů. Další informace najdete v tématu Přesun služby Azure Key Vault do jiného předplatného.

  1. Aktualizujte ID tenanta přidružené ke všem existujícím trezorům klíčů v předplatném na cílový adresář.

  2. Odeberte všechny stávající položky zásad přístupu.

  3. Přidejte nové položky zásad přístupu přidružené k cílovému adresáři.

Aktualizace seznamů ACL

  1. Pokud používáte Azure Data Lake Storage Gen2, přiřaďte příslušné seznamy ACL. Další informace najdete v tématu Řízení přístupu ve službě Azure Data Lake Storage Gen2.

  2. Pokud používáte Azure Files, přiřaďte příslušné seznamy ACL.

Kontrola dalších metod zabezpečení

I když se přiřazení rolí během přenosu odeberou, uživatelé v původním účtu vlastníka můžou mít k předplatnému nadále přístup prostřednictvím jiných metod zabezpečení, včetně:

  • Přístupové klíče pro služby, jako je Storage.
  • Certifikáty pro správu, které správci uživatele udělí přístup k prostředkům předplatného.
  • Oprávnění pro vzdálený přístup ke službám, jako je Azure Virtual Machines.

Pokud vaším záměrem je odebrat přístup uživatelům ve zdrojovém adresáři, aby neměli přístup k cílovému adresáři, měli byste zvážit obměně všech přihlašovacích údajů. Dokud se přihlašovací údaje neaktualizují, budou mít uživatelé po převodu i nadále přístup.

  1. Obměňte přístupové klíče účtu úložiště. Další informace najdete v tématu Správa přístupových klíčů účtu úložiště.

  2. Pokud používáte přístupové klíče pro jiné služby, jako je Azure SQL Database nebo zasílání zpráv služby Azure Service Bus, obměňte přístupové klíče.

  3. V případě prostředků, které používají tajné kódy, otevřete nastavení prostředku a aktualizujte tajný klíč.

  4. V případě prostředků, které používají certifikáty, aktualizujte certifikát.

Další kroky