次の方法で共有

ID リソースをグローバル Azure に移行する

  • [アーティクル]

重要

2018 年 8 月以降、元の Microsoft Cloud Germany ロケーションでは、新しい顧客の受け入れや、新しい機能やサービスのデプロイはしていません。

お客様のニーズの変化に基づき、Microsoft ではドイツで最近新しいデータセンターのリージョンを 2 つ立ち上げ、顧客データ所在地、Microsoft のグローバル クラウド ネットワークへの完全な接続、市場競争力のある価格を提供しています。

さらに、2020 年 9 月 30 日、Microsoft Cloud Germany が 2021 年 10 月 29 日に終了することを発表しました。 詳細については、https://www.microsoft.com/cloud-platform/germany-cloud-regions をご覧ください。

今すぐ移行して、ドイツの新しいデータセンター リージョン内で使用可能な幅広い機能、エンタープライズレベルのセキュリティ、包括的な機能をご利用ください。

この記事には、Azure ID リソースを Azure Germany からグローバル Azure に移行するために役立つ可能性がある情報があります。

ID/テナントに関するガイダンスは、Azure のみの顧客を対象にしています。 Azure と Microsoft 365 (またはその他の Microsoft 製品) のために一般的な Azure Active Directory (Azure AD) テナントを使用する場合は、ID の移行に複雑さが伴うため、この移行ガイダンスを使用する前に、まずアカウント マネージャーに連絡する必要があります。

Azure Active Directory

Azure Germany の Azure AD は、グローバル Azure の Azure AD から分離しています。 現在、Azure Germany からグローバル Azure に Azure AD ユーザーを移動することはできません。

Azure Germany とグローバル Azure の既定のテナント名は、Azure が環境に基づいて自動的にサフィックスを追加するため、常に異なります。 たとえば、グローバル Azure の contoso テナントのメンバーのユーザー名は です user1@contoso.microsoftazure.com。 このAzure Germanyは です user1@contoso.microsoftazure.de

Azure AD でカスタム ドメイン名 (contoso.com など) を使用する場合、Azure でドメイン名を登録する必要があります。 カスタム ドメイン名は、一度に 1 つだけのクラウド環境に定義できます。 ドメインが Azure Active Directory のいずれかのインスタンスに既に登録されている場合、ドメインの検証が失敗します。 たとえば、同じ user1@contoso.com 名前のグローバル Azure Azure Germanyに存在するユーザーを同時に存在することはできません。 contoso.com の登録は失敗します。

一部のユーザーが既に新しい環境に存在し、一部のユーザーがまだ古い環境に存在する "ソフト" 移行では、異なるクラウド環境ごとに異なるサインイン名が必要です。

この記事では、可能性のある各移行シナリオについて説明しません。 推奨事項は、たとえばユーザーのプロビジョニング方法、異なるユーザー名または UserPrincipalNames を使用するために選択できるオプション、およびその他の依存関係によって異なります。 ただし、現在の環境のユーザーとグループのインベントリの作成に役立ついくつかのヒントをまとめました。

Azure AD に関連するすべてのコマンドレットの一覧を取得するには、次のコマンドを実行します。

Get-Help Get-AzureAD*

ユーザーのインベントリ作成

Azure AD インスタンスに存在するすべてのユーザーとグループの概要を取得するには:

Get-AzureADUser -All $true

有効なアカウントのみを一覧表示するには、次のフィルターを追加します。

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}

何かを忘れた場合に、すべての属性の完全なダンプを作成するには:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *

ユーザーを再作成するために必要な属性を選択するには:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname

一覧を Excel にエクスポートするには、この一覧の最後で Export-Csv コマンドレットを使用します。 完全なエクスポートは、この例のようになります。

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8

注意

パスワードを移行することはできません。 代わりに、シナリオに応じて、新しいパスワードを割り当てるか、セルフサービス メカニズムを使用する必要があります。

また、環境に応じて、ExtensionsDirectReport、または LicenseDetail の値などのその他の情報を収集する必要がある場合もあります。

必要に応じて、CSV ファイルを書式設定します。 次にCSV からのデータのインポートに関するページに記載されている手順に従って、新しい環境にユーザーを再作成します。

グループのインベントリ作成

グループ メンバーシップをドキュメント化するには:

Get-AzureADGroup

各グループのメンバーの一覧を取得するには:

Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}

インベントリ サービス プリンシパルとアプリケーション

すべてのサービス プリンシパルとアプリケーションを再作成する必要がありますが、サービス プリンシパルとアプリケーションの状態をドキュメント化することをお勧めします。 次のコマンドレットを使用して、すべてのサービス プリンシパルの詳細なリストを取得できます。

Get-AzureADServicePrincipal |Format-List *

Get-AzureADApplication |Format-List *

Get-AzureADServicePrincipal* または Get-AzureADApplication* で始まる他のコマンドレットを使用して、詳細情報を取得できます。

インベントリ ディレクトリ ロール

現在のロール割り当てをドキュメント化するには:

Get-AzureADDirectoryRole

各ロールを調べて、ロールに関連付けられているユーザーまたはアプリケーションを見つけます。

Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}

詳細情報:

Azure AD Connect

Azure AD Connect は、オンプレミス Active Directory インスタンスと Azure Active Directory (Azure AD) 間で ID データを同期するツールです。 Azure AD Connect の現在のバージョンは、Azure Germany とグローバル Azure の両方で機能します。 Azure AD Connect は、一度に 1 つだけの Azure AD インスタンスに同期できます。 Azure Germany とグローバル Azure に同時に同期する場合は、これらのオプションを検討してください。

  • Azure AD Connect の 2 つ目のインスタンスに追加のサーバーを使用します。 同じサーバーで Azure AD Connect の複数のインスタンスを使用することはできません。
  • ユーザーの新しいサインイン名を定義します。 サインイン名のドメイン部分 ( @ の後) は環境ごとに異なる必要があります。
  • 逆方向 (Azure AD からオンプレミスの Active Directory へ) にも同期する場合、明確な "真実のソース" を定義します。

既に Azure AD Connect を使用して、Azure Germany 間で同期している場合は、手動で作成したすべてのユーザーを移行してください。 次の PowerShell コマンドレットでは、Azure AD Connect を使用して同期されないすべてのユーザーが一覧表示されます。

Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}

詳細情報:

Multi-Factor Authentication

新しい環境で、ユーザーを再作成し、Azure AD Multi-factor Authentication インスタンスを再定義する必要があります。

多要素認証が有効になっているか、または適用対象にされているユーザー アカウントの一覧を取得するには:

  1. Azure ポータルにサインインします。
  2. [ユーザー]>[すべてのユーザー]>[Multi-Factor Authentication] の順に選択します。
  3. 多要素認証サービス ページにリダイレクトされたら、適切なフィルターを設定して、ユーザーの一覧を取得します。

詳細情報:

次のステップ

次のサービス カテゴリのリソースを移行するためのツール、テクニック、および推奨事項について学習します。