Leitfaden zur Governance der Azure-Zielzone: Migrieren von Azure-Zielzonenrichtlinien zu integrierten Azure-Richtlinien
Im Laufe der Zeit werden benutzerdefinierte Azure-Richtlinien und Richtlinieninitiativen für die Zielzone möglicherweise veraltet oder von den integrierten Azure-Richtlinien ersetzt. Wenn ja, sollten sie entfernt oder migriert werden. In diesem Artikel wird beschrieben, wie Sie benutzerdefinierte Azure-Zielzonenrichtlinien und Richtlinieninitiativen zu integrierten Azure-Richtlinien migrieren.
Die Anleitung in diesem Artikel beschreibt die manuellen, allgemeinen Schritte zum Migrieren Ihrer Richtlinien. Darüber hinaus finden Sie Verweise darauf, wie Implementierungen verarbeitet werden, die über die Azure Verified Modules for Platform Landing Zones Terraform oder Bicep Angeboten verwaltet werden.
Die folgende Infografik zeigt den Aktualisierungsvorgangsfluss.
Manuelle Updateschritte für Azure-Zielzonenumgebungen
In diesem Abschnitt werden die allgemeinen Schritte zum Migrieren von benutzerdefinierten Azure-Landingzone-Richtlinien und -Initiativen zu Azure-Standartrichtlinien beschrieben.
Erkennen von Updates für Azure-Zielzonenrichtlinien
Sie können feststellen, dass eine oder mehrere Azure-Zielzonenrichtlinien durch integrierte Azure-Richtlinien mit den folgenden Optionen ersetzt werden:
- Überprüfen Sie in regelmäßigen Abständen Azure Enterprise Scale What's new wiki und notieren Sie sich alle Richtlinien, die als abgelöst gekennzeichnet sind. Hier finden Sie ein Beispiel einer abgelösten Richtlinie.
- Verwenden Sie das skript Azure Governance Visualizer, und notieren Sie alle als veraltet gekennzeichneten Richtlinien.
Migrationsschritte für Azure-Zielzonenrichtlinien
Sie können Azure-Zielzonenumgebungen mit den folgenden Schritten migrieren:
- Ermitteln Sie, ob die Azure-Zielzonenrichtlinien, die für eine Migration in Frage kommen, derzeit in einem beliebigen Bereich Ihrer Azure-Umgebung zugewiesen sind. Bei Verwendung von Azure Governance Visualizer können Sie den Geltungsbereich der Richtlinie anhand des Abschnitts TenantSummary ermitteln.
- Überprüfen Sie, ob die migrierten Azure-Zielzonenrichtlinien Teil einer benutzerdefinierten Richtlinieninitiative für Zielzonen sind, die aktualisiert werden sollte.
- Prüfen Sie, ob benutzerdefinierte Richtlinieninitiativen für Azure-Zielzonen, die für eine Migration in Frage kommen, derzeit einem beliebigen Bereich in Ihrer Azure-Umgebung zugewiesen sind.
Je nach den Ergebnissen Ihrer Untersuchung führen Sie die folgenden Aktionen aus.
Richtlinien, die nicht zugewiesen sind und nicht Teil der benutzerdefinierten Azure-Landingzone-Richtlinieninitiative sind.
Wenn die zu migrierende Richtlinie nicht in Ihrer Azure-Umgebung zugewiesen ist und nicht Teil einer vorhandenen benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen ist, können Sie wie folgt vorgehen:
- Löschen Sie die Richtliniendefinition für Azure-Zielzonen aus der zwischengeschalteten Stammverwaltungsgruppe von Azure-Zielzonen (z. B.
Contoso).
Wenn eine benutzerdefinierte Richtlinieninitiative für Azure-Zielzonen vollständig von einer integrierten Richtlinieninitiative abgelöst wird und in Ihrer Azure-Umgebung nicht zugewiesen ist, können Sie Folgendes tun:
- Löschen Sie die benutzerdefinierte Richtliniendefinition für Azure-Zielzonen aus der zwischengeschalteten Stammverwaltungsgruppe von Azure-Zielzonen (z. B.
Contoso).
Richtlinien sind zugewiesen und kein Teil einer benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen
Wenn die zu migrierende Richtlinie einem Bereich in Ihrer Azure-Umgebung zugewiesen ist und nicht Teil einer vorhandenen benutzerdefinierten Azure-Startzonenrichtlinieninitiative ist, führen Sie die folgenden Schritte aus:
- Erstellen Sie neue Richtlinienzuweisungen für dieselben Bereiche unter Verwendung der integrierten Azure-Richtlinien mit übereinstimmenden Einstellungen gemäß der Zuweisung der vorherigen benutzerdefinierten Richtliniendefinition für Azure-Zielzonen.
- Löschen Sie die bestehende Richtlinienzuweisung für Azure-Zielzonen in allen Bereichen, denen sie zugewiesen ist.
- Löschen Sie die Richtliniendefinition für Azure-Zielzonen aus der zwischengeschalteten Stammverwaltungsgruppe von Azure-Zielzonen (z. B.
Contoso).
Ausführliche Anleitungen zum Durchführen der vorherigen Schritte finden Sie unter Migrieren einer benutzerdefinierten Richtlinie für eine einzelne Azure-Landing-Zone.
Über die benutzerdefinierte Richtlinieninitiative für Azure-Zielzonen zugewiesene Richtlinien
Wenn die zu migrierende Richtlinie Teil einer benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen ist und über diese in einem beliebigen Bereich Ihrer Azure-Umgebung zugewiesen ist, führen Sie die folgenden Schritte aus:
- Aktualisieren Sie die Definition der benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen mit den entsprechenden Richtlinienverweisen. Sie finden die aktualisierten Initiativen hier mit dem generischen Bereich contoso für benutzerdefinierte Richtlinien.
- Wenn Sie die Richtlinienverweise aktualisieren, denken Sie daran, den Bereich contoso für die Richtliniendefinitionen-IDs in den Pseudostammnamen Ihrer Verwaltungsgruppenhierarchie zu ändern. Aktualisieren Sie außerdem die Metadateninformationen der benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen.
Eine ausführliche Anleitung zum Ausführen der genannten Schritte finden Sie unter Aktualisieren untergeordneter Definitionen in benutzerdefinierten Initiativen für Azure-Zielzonen.
Wenn eine benutzerdefinierte Richtlinieninitiative für Azure-Zielzonen vollständig durch eine integrierte Richtlinieninitiative abgelöst wurde und einem beliebigen Bereich Ihrer Azure-Umgebung zugewiesen ist, führen Sie die folgenden Schritte aus:
- Erstellen Sie in den gleichen Bereichen neue Zuweisungen von Richtlinieninitiativen. Verwenden Sie die integrierte Azure-Richtlinieninitiative mit übereinstimmenden Einstellungen gemäß der Zuweisung der vorherigen benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen.
- Löschen Sie die bestehende Zuweisung der Richtlinieninitiative für Azure-Zielzonen in allen Bereichen, denen sie zugewiesen ist.
- Löschen Sie die benutzerdefinierte Richtliniendefinition für Azure-Zielzonen aus der zwischengeschalteten Stammverwaltungsgruppe von Azure-Zielzonen (z. B.
Contoso).
Aktualisierungsschritte für von Azure verifizierte Terraform-Module für die Bereitstellungen von Plattform-Zielzonenmodulen
Wenn Sie das Terraform-Modul verwenden, lesen Sie den Updateleitfaden.
Migrationsschritte für das Azure Landing Zone Terraform Modul
Das Terraform-Modul für Azure-Zielzonen bietet eine Aktualisierungsanleitung für die Bereitstellung von Breaking Changes. Befolgen Sie die Upgradeanleitungen für Ihre spezifische Version, die sich am Ende dieses Artikels befindet.
Aktualisierungsschritte für ALZ-Bicep-Bereitstellungen
Wenn Sie die ALZ-Bicep- verwenden, um Ihre Azure-Zielzonenbereitstellung zu verwalten, verweist dieser Abschnitt auf Ressourcen zum Migrieren von benutzerdefinierten Azure-Zielzonenrichtlinien und -Initiativen zu integrierten Azure-Richtlinien.
Erkennen von Aktualisierungen für ALZ-Bicep-Richtlinienänderungen
Verwenden Sie die unter Erkennen von Updates für Azure-Zielzonenrichtlinien beschriebenen Methoden, um zu ermitteln, ob sich Richtlinien in ALZ-Bicep geändert haben. Sie werden Änderungen an Richtlinien auch in ALZ-Bicep-Releases sehen.
Migrationsschritte für ALZ-Bicep-Richtlinien
ALZ-Bicep bietet allgemeine Anleitungen zum Migrieren von Richtlinien von benutzerdefinierten Azure-Zielzonenrichtlinien zu integrierten Azure-Richtlinien. Weitere Informationen finden Sie unter Migrieren von benutzerdefinierten Azure-Zielzonenrichtlinien zu integrierten Azure-Richtlinien.
Nächste Schritte
Unabhängig davon, ob Sie das Azure-Portal, Bicep oder Terraform verwenden, um Ihre Azure-Landezone-Infrastruktur zu verwalten, müssen Sie Richtlinienänderungen im Laufe der Zeit verwalten. Verwenden Sie den Fluss in diesem Artikel als Ausgangspunkt für die Entwicklung von Prozessen rund um die Richtlinienverwaltung für Ihre Azure-Zielzonenimplementierung.