Migrer des ressources d’identité vers Azure global
Important
Depuis août 2018, nous n’avons pas accepté de nouveaux clients ni déployé de nouveaux services et fonctionnalités dans les emplacements d’origine Microsoft Cloud Allemagne.
En fonction de l’évolution des besoins des clients, nous avons récemment lancé deux nouvelles régions de centres de données en Allemagne, offrant une résidence des données client, une connectivité complète au réseau mondial du Cloud de Microsoft, ainsi qu’un tarif compétitif sur le marché.
En outre, le 30 septembre 2020, nous avons annoncé que le Cloud Microsoft Allemagne serait fermé le 29 octobre 2021. Des informations supplémentaires sont disponibles ici : https://www.microsoft.com/cloud-platform/germany-cloud-regions.
Tirez parti de l’éventail des fonctionnalités, de la sécurité de l’entreprise et des fonctionnalités complètes disponibles dans nos nouvelles régions du centre de données allemand en migrant aujourd’hui.
Cet article contient des informations qui peuvent vous aider à migrer des ressources d’identité Azure d’Azure Germany vers Azure global.
Les conseils sur l’identité/les locataires sont destinées aux clients Azure uniquement. Si vous utilisez des locataires Azure Active Directory (Azure AD) courants pour Azure et Microsoft 365 (ou d’autres produits Microsoft), il existe des complexités lors de la migration de l’identité et vous devez d’abord contacter votre responsable de compte avant d’utiliser ce guide de migration.
Azure Active Directory
Azure AD dans Azure Germany est distinct d’Azure AD dans Azure global. Actuellement, vous ne pouvez pas déplacer des utilisateurs Azure AD d’Azure Germany vers Azure global.
Les noms de locataire par défaut dans Azure Germany et Azure global sont toujours différents, car Azure ajoute automatiquement un suffixe en fonction de l’environnement. Par exemple, un nom d’utilisateur pour un membre du client contoso dans Azure global est user1@contoso.microsoftazure.com . Dans Azure Germany, il s’agit de user1@contoso.microsoftazure.de .
Lorsque vous utilisez des noms de domaine personnalisés (comme contoso.com) dans Azure AD, vous devez inscrire le nom de domaine dans Azure. Vous pouvez définir des noms de domaine personnalisés dans un seul environnement cloud à la fois. La validation de domaine échoue lorsque le domaine est déjà inscrit dans n’importe quelle instance d’Azure Active Directory. Par exemple, l’utilisateur user1@contoso.com qui existe dans Azure Germany ne peut pas également exister dans Global Azure sous le même nom en même temps. L’inscription pour contoso.com échouerait.
Une migration « progressive », dans laquelle certains utilisateurs sont déjà dans le nouvel environnement et d’autres toujours dans l’ancien environnement requiert différents noms de connexion pour les différents environnements cloud.
Nous ne traitons pas chaque scénario de migration possible dans cet article. Une recommandation dépendrait, par exemple, de la façon dont vous configurez les utilisateurs, les options dont vous disposez pour l’utilisation de différents noms d’utilisateur ou UserPrincipalNames, et d’autres dépendances. Toutefois, nous avons rassemblé quelques conseils pour vous aider à répertorier les utilisateurs et groupes de votre environnement actuel.
Pour obtenir une liste de toutes les applets de commande associées à Azure AD, exécutez :
Get-Help Get-AzureAD*
Utilisateurs de l’inventaire
Pour obtenir une vue d’ensemble de tous les utilisateurs et groupes qui existent dans votre instance Azure AD :
Get-AzureADUser -All $true
Pour répertorier uniquement les comptes activés, ajoutez le filtre suivant :
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}
Pour effectuer un vidage complet de tous les attributs, au cas où vous avez oublié quelque chose :
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *
Pour sélectionner les attributs dont vous avez besoin pour recréer les utilisateurs :
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname
Pour exporter la liste vers Excel, utilisez l’applet de commande Export-Csv à la fin de cette liste. Une exportation complète peut se présenter comme dans cet exemple :
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8
Notes
Vous ne pouvez pas migrer les mots de passe. Au lieu de cela, vous devez attribuer de nouveaux mots de passe ou utiliser un mécanisme de libre-service, en fonction de votre scénario.
En outre, selon votre environnement, vous devrez peut-être collecter d’autres informations, comme les valeurs pour Extensions, DirectReport ou LicenseDetail.
Formatez votre fichier CSV en fonction de vos besoins. Ensuite, suivez les étapes décrites dans Importer des données à partir de CSV pour recréer les utilisateurs dans votre nouvel environnement.
Répertorier les groupes
Pour documenter les appartenances au groupe :
Get-AzureADGroup
Pour obtenir la liste des membres de chaque groupe :
Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}
Répertorier les applications et principaux de service
Bien que vous devez recréer l’ensemble des applications et principaux du service, une bonne pratique consiste à documenter l’état des principaux de service et des applications. Vous pouvez utiliser les applets de commande suivantes pour obtenir une liste complète des principaux de service :
Get-AzureADServicePrincipal |Format-List *
Get-AzureADApplication |Format-List *
Vous pouvez obtenir plus d’informations à l’aide des autres applets de commande qui commencent par Get-AzureADServicePrincipal*
ou Get-AzureADApplication*
.
Répertorier les rôles d’annuaire
Pour documenter l’attribution actuelle des rôles :
Get-AzureADDirectoryRole
Passez en revue chaque rôle pour rechercher les utilisateurs ou applications associés au rôle :
Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}
Pour plus d’informations :
- En savoir plus sur les Solutions d'identité hybride.
- Lisez le billet de blog Utiliser Azure AD Connect avec plusieurs clouds pour en savoir plus sur les méthodes que vous utiliser pour synchroniser différents environnements cloud.
- En savoir plus sur Azure Active Directory.
- En savoir plus sur noms de domaine personnalisés.
- Découvrez comment importer des données CSV dans Azure AD.
Azure AD Connect
Azure AD Connect est un outil qui synchronise vos données d’identité entre une instance Active Directory locale et Azure Active Directory (Azure AD). La version actuelle d’Azure AD Connect fonctionne à la fois pour Azure Germany et Azure global. Azure AD Connect ne peut synchroniser qu’une seule instance d’Azure AD à la fois. Si vous souhaitez vous synchroniser avec Azure Germany et Azure global en même temps, considérez ces options :
- Utilisez un serveur supplémentaire pour une deuxième instance Azure AD Connect. Vous ne pouvez pas avoir plusieurs instances Azure AD Connect sur le même serveur.
- Définissez un nouveau nom de connexion pour vos utilisateurs. La partie domaine (après @ ) du nom de connexion doit être différente dans chaque environnement.
- Définissez une « source de vérité » claire lorsque vous synchronisez aussi dans l’autre sens (d’Azure AD vers l’instance Active Directory locale).
Si vous utilisez déjà Azure AD Connect pour synchroniser de et vers Azure Germany, assurez-vous que vous migrez tous les utilisateurs créés manuellement. L’applet de commande PowerShell suivante répertorie tous les utilisateurs qui ne sont pas synchronisés avec Azure AD Connect :
Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}
Pour plus d’informations :
- En savoir plus sur Azure AD Connect.
Azure Multi-Factor Authentication
Vous devez recréer les utilisateurs et redéfinir votre instance Azure AD Multi-Factor Authentication dans votre nouvel environnement.
Pour obtenir une liste des comptes utilisateur pour lesquels l’authentification multifacteur est activée ou appliquée :
- Connectez-vous au portail Azure.
- Sélectionnez Utilisateurs>Tous les utilisateurs>Authentication multifacteur.
- Lorsque vous êtes redirigé vers la page du service d’authentification multifacteur, définissez les filtres appropriés pour obtenir la liste des utilisateurs.
Pour plus d’informations :
- En savoir plus sur Azure AD Multi-Factor Authentication.
Étapes suivantes
Informez-vous sur les outils, techniques et suggestions pour migrer des ressources dans les catégories de service suivantes :