Governanceleitfaden für Azure-Zielzonen: Migrieren von Azure-Zielzonenrichtlinien zu integrierten Azure-Richtlinien

Im Laufe der Zeit können benutzerdefinierte Azure-Zielzonenrichtlinien und -Richtlinieninitiativen veralten oder von integrierten Azure-Richtlinien abgelöst werden. Ist dies der Fall, sollten sie entfernt oder migriert werden. In diesem Artikel wird beschrieben, wie Sie benutzerdefinierte Azure-Zielzonenrichtlinien und -Richtlinieninitiativen zu integrierten Azure-Richtlinien migrieren.

In der Anleitung in diesem Dokument werden die manuellen, allgemeinen Schritte für die Richtlinienmigration beschrieben. Es werden auch Referenzen für die Verarbeitung von Implementierungen bereitgestellt, die über das Terraform-Modul für Azure-Zielzonen oder ALZ-Bicep verarbeitet werden.

Die folgende Infografik zeigt den Ablauf des Aktualisierungsprozesses.

Manuelle Aktualisierungsschritte für Azure-Zielzonenumgebungen

In diesem Abschnitt werden die allgemeinen Schritte zum Migrieren benutzerdefinierter Azure-Zielzonenrichtlinien und -initiativen zu integrierten Azure-Richtlinien beschrieben.

Erkennen von Aktualisierungen von Azure-Zielzonenrichtlinien

Mit den folgenden Optionen können Sie erkennen, ob eine oder mehrere Azure-Zielzonenrichtlinien durch integrierte Azure-Richtlinien abgelöst wurden:

• Überprüfen Sie regelmäßig im Azure Enterprise Scale-Wiki den Abschnitt zu Neuerungen auf Richtlinien, die als abgelöst angezeigt werden. Hier finden Sie ein Beispiel einer abgelösten Richtlinie.
• Verwenden Sie das Skript Azure Governance Visualizer, und achten Sie auf alle als veraltet markierten Richtlinien.

Migrationsschritte für Azure-Zielzonenrichtlinien

Sie können Azure-Zielzonenumgebungen mit den folgenden Schritten migrieren:

1. Ermitteln Sie, ob die Azure-Zielzonenrichtlinien, die für eine Migration in Frage kommen, derzeit in einem beliebigen Bereich Ihrer Azure-Umgebung zugewiesen sind. Bei Verwendung von Azure Governance Visualizer können Sie den Geltungsbereich der Richtlinie anhand des Abschnitts TenantSummary ermitteln.
2. Prüfen Sie, ob die zu migrierenden Azure-Zielzonenrichtlinien Teil einer benutzerdefinierten Richtlinieninitiative für Zielzonen sind, die aktualisiert werden sollte.
3. Prüfen Sie, ob benutzerdefinierte Richtlinieninitiativen für Azure-Zielzonen, die für eine Migration in Frage kommen, derzeit einem beliebigen Bereich in Ihrer Azure-Umgebung zugewiesen sind.

Ergreifen Sie je nach den Ergebnissen Ihrer Untersuchung die folgenden Maßnahmen.

Richtlinien sind nicht zugewiesen und kein Teil einer benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen

Wenn die zu migrierende Richtlinie nicht in Ihrer Azure-Umgebung zugewiesen ist und nicht Teil einer vorhandenen benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen ist, können Sie wie folgt vorgehen:

• Löschen Sie die Richtliniendefinition für Azure-Zielzonen aus der zwischengeschalteten Stammverwaltungsgruppe von Azure-Zielzonen (z. B. Contoso).

Wenn eine benutzerdefinierte Richtlinieninitiative für Azure-Zielzonen vollständig von einer integrierten Richtlinieninitiative abgelöst wird und in Ihrer Azure-Umgebung nicht zugewiesen ist, können Sie Folgendes tun:

• Löschen Sie die benutzerdefinierte Richtliniendefinition für Azure-Zielzonen aus der zwischengeschalteten Stammverwaltungsgruppe von Azure-Zielzonen (z. B. Contoso).

Richtlinien sind zugewiesen und kein Teil einer benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen

Wenn die zu migrierende Richtlinie einem beliebigen Bereich in Ihrer Azure-Umgebung zugewiesen ist und nicht Teil einer bestehenden benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen ist, führen Sie diese Schritte aus:

1. Erstellen Sie neue Richtlinienzuweisungen für dieselben Bereiche unter Verwendung der integrierten Azure-Richtlinien mit übereinstimmenden Einstellungen gemäß der Zuweisung der vorherigen benutzerdefinierten Richtliniendefinition für Azure-Zielzonen.
2. Löschen Sie die bestehende Richtlinienzuweisung für Azure-Zielzonen in allen Bereichen, denen sie zugewiesen ist.
3. Löschen Sie die Richtliniendefinition für Azure-Zielzonen aus der zwischengeschalteten Stammverwaltungsgruppe von Azure-Zielzonen (z. B. Contoso).

Eine ausführliche Anleitung zum Ausführen der genannten Schritte finden Sie unter Migrieren einer benutzerdefinierten Richtlinie für eine einzelne Azure-Zielzone.

Über die benutzerdefinierte Richtlinieninitiative für Azure-Zielzonen zugewiesene Richtlinien

Wenn die zu migrierende Richtlinie Teil einer benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen ist und über diese in einem beliebigen Bereich Ihrer Azure-Umgebung zugewiesen ist, führen Sie die folgenden Schritte aus:

1. Aktualisieren Sie die Definition der benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen mit den entsprechenden Richtlinienverweisen. Sie finden die aktualisierten Initiativen hier mit dem generischen Bereich contoso für benutzerdefinierte Richtlinien.
2. Wenn Sie die Richtlinienverweise aktualisieren, denken Sie daran, den Bereich contoso für die Richtliniendefinitionen-IDs in den Pseudostammnamen Ihrer Verwaltungsgruppenhierarchie zu ändern. Aktualisieren Sie außerdem die Metadateninformationen der benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen.

Eine ausführliche Anleitung zum Ausführen der genannten Schritte finden Sie unter Aktualisieren untergeordneter Definitionen in benutzerdefinierten Initiativen für Azure-Zielzonen.

Wenn eine benutzerdefinierte Richtlinieninitiative für Azure-Zielzonen vollständig durch eine integrierte Richtlinieninitiative abgelöst wurde und einem beliebigen Bereich Ihrer Azure-Umgebung zugewiesen ist, führen Sie die folgenden Schritte aus:

1. Erstellen Sie in den gleichen Bereichen neue Zuweisungen von Richtlinieninitiativen. Verwenden Sie die integrierte Azure-Richtlinieninitiative mit übereinstimmenden Einstellungen gemäß der Zuweisung der vorherigen benutzerdefinierten Richtlinieninitiative für Azure-Zielzonen.
2. Löschen Sie die bestehende Zuweisung der Richtlinieninitiative für Azure-Zielzonen in allen Bereichen, denen sie zugewiesen ist.
3. Löschen Sie die benutzerdefinierte Richtliniendefinition für Azure-Zielzonen aus der zwischengeschalteten Stammverwaltungsgruppe von Azure-Zielzonen (z. B. Contoso).

Aktualisierungsschritte für Bereitstellungen von Azure-Zielzonen mit dem Terraform-Modul

Wenn Sie zur Verwaltung der Bereitstellung von Azure-Zielzonen das Terraform-Modul für Azure-Zielzonen verwenden, verweist dieser Abschnitt auf Ressourcen zur Migration von benutzerdefinierten Richtlinien und Richtlinieninitiativen für Azure-Zielzonen zu integrierten Azure-Richtlinien.

Erkennen von Aktualisierungen am Terraform-Modul aufgrund von Änderungen

Befolgen Sie die unter Erkennen von Aktualisierungen von Azure-Zielzonenrichtlinien beschriebenen Methoden, um zu ermitteln, ob sich Richtlinien im Terraform-Modul geändert haben. Änderungen an Richtlinien finden Sie auch auf der Seite mit Terraform-Releases für Azure-Zielzonen. Ein Beispiel finden Sie hier.

Migrationsschritte für das Terraform-Modul für Azure-Zielzonen

Das Terraform-Modul für Azure-Zielzonen bietet eine Aktualisierungsanleitung für die Bereitstellung von Breaking Changes. Folgen Sie hier unten auf der Seite der Aktualisierungsanleitung für Ihre spezifische Version.

Aktualisierungsschritte für ALZ-Bicep-Bereitstellungen

Wenn Sie zur Verwaltung der Bereitstellung von Azure-Zielzonen ALZ.Bicep verwenden, verweist dieser Abschnitt auf Ressourcen zur Migration von benutzerdefinierten Richtlinien und Initiativen für Azure-Zielzonen zu integrierten Azure-Richtlinien.

Erkennen von Aktualisierungen für ALZ-Bicep-Richtlinienänderungen

Verwenden Sie die unter Erkennen von Aktualisierungen von Azure-Zielzonenrichtlinien beschriebenen Methoden, um zu ermitteln, ob sich Richtlinien im ALZ-Bicep geändert haben. Sie werden Änderungen an Richtlinien auch in ALZ-Bicep-Releases sehen.

Migrationsschritte für ALZ-Bicep-Richtlinien

AKZ-Bicep bietet allgemeine Anleitungen zum Migrieren benutzerdefinierter Richtlinien für Azure-Zielzonen zu integrierten Azure-Richtlinien. Weitere Informationen finden Sie unter Migrieren benutzerdefinierter Richtlinien für Azure-Zielzonen zu integrierten Azure-Richtlinien.

Nächste Schritte

Unabhängig davon, ob Sie das Azure-Portal, Bicep oder Terraform zum Verwalten Ihrer Azure-Zielzoneninfrastruktur verwenden, ändern sich Richtlinien im Laufe der Zeit. Diese Änderungen müssen Sie verwalten. Befolgen Sie den Ablauf in diesem Artikel als Ausgangspunkt für die Entwicklung von Prozessen für die Richtlinienverwaltung für Ihre spezifische Implementierung von Azure-Zielzonen.