Delen via


Zie Een Azure-abonnement overdragen naar een andere Microsoft Entra-map.

Organisaties hebben mogelijk verschillende Azure-abonnementen. Elk abonnement is gekoppeld aan een bepaalde Microsoft Entra-directory. Om het beheer eenvoudiger te maken, kunt u een abonnement overdragen naar een andere Microsoft Entra-directory. Wanneer u een abonnement overzet naar een andere Microsoft Entra-directory, worden sommige resources niet overgedragen naar de doeldirectory. Alle roltoewijzingen en aangepaste rollen in op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) worden bijvoorbeeld permanent verwijderd uit de bronmap en worden niet overgebracht naar de doelmap.

In dit artikel worden de basisstappen beschreven die u kunt volgen om een abonnement over te dragen naar een andere Microsoft Entra-directory en enkele van de resources opnieuw te maken na de overdracht.

Als u in plaats daarvan de overdracht van abonnementen naar verschillende mappen in uw organisatie wilt blokkeren , kunt u een abonnementsbeleid configureren. Zie Azure-abonnementsbeleid beheren voor meer informatie.

Notitie

Voor CSP-abonnementen (Cloud Solution Providers) van Azure wordt het wijzigen van de Microsoft Entra-directory voor het abonnement niet ondersteund.

Overzicht

Het overdragen van een Azure-abonnement naar een andere Microsoft Entra-directory is een complex proces dat zorgvuldig moet worden gepland en uitgevoerd. Voor veel Azure-services zijn beveiligingsprincipalen (identiteiten) vereist om normaal te werken of zelfs andere Azure-resources te beheren. In dit artikel wordt geprobeerd de meeste Azure-services te behandelen die sterk afhankelijk zijn van beveiligingsprinciplen, maar die niet volledig zijn.

Belangrijk

In sommige scenario's is er voor het overdragen van een abonnement downtime nodig om het proces te voltooien. Er is een zorgvuldige planning vereist om te beoordelen of er downtime nodig is voor uw overdracht.

In het volgende diagram ziet u de basisstappen die u moet volgen wanneer u een abonnement overdraagt naar een andere map.

  1. Voorbereiden op de overdracht

  2. Het Azure-abonnement overdragen naar een andere directory

  3. Resources opnieuw maken in de doeldirectory, zoals roltoewijzingen, aangepaste rollen en beheerde identiteiten

    Abonnementsdiagram overdragen

Bepalen of een abonnement moet worden overgedragen naar een andere map

Hier volgen enkele redenen waarom u mogelijk een abonnement wilt overdragen:

  • Vanwege een bedrijfsfusie of -overname wilt u een overgenomen abonnement beheren in uw primaire Microsoft Entra-map.
  • Iemand in uw organisatie heeft een abonnement gemaakt en u wilt het beheer consolideren in een bepaalde Microsoft Entra-map.
  • U hebt toepassingen die afhankelijk zijn van een bepaalde abonnements-id of -URL en het is niet eenvoudig om de configuratie of code van de toepassing te wijzigen.
  • Een deel van uw bedrijf is opgesplitst in een afzonderlijk bedrijf en u moet een aantal van uw resources verplaatsen naar een andere Microsoft Entra-map.
  • U wilt een aantal van uw resources in een andere Microsoft Entra-map beheren voor beveiligingsisolatie.

Andere manieren

Voor het overdragen van een abonnement is downtime vereist om het proces te voltooien. Afhankelijk van uw scenario kunt u de volgende alternatieve benaderingen overwegen:

  • Maak de resources opnieuw en kopieer gegevens naar de doelmap en het doelabonnement.
  • Gebruik een architectuur voor meerdere mappen en laat het abonnement in de bronmap staan. Gebruik Azure Lighthouse om resources te delegeren, zodat gebruikers in de doelmap toegang hebben tot het abonnement in de bronmap. Zie Azure Lighthouse in bedrijfsscenario's voor meer informatie.

Inzicht in de impact van de overdracht van een abonnement

Verschillende Azure-resources hebben een afhankelijkheid van een abonnement of map. Afhankelijk van uw situatie bevat de volgende tabel de bekende impact van het overdragen van een abonnement. Door de stappen in dit artikel uit te voeren, kunt u enkele van de resources die bestonden vóór de abonnementsoverdracht opnieuw maken.

Belangrijk

Deze sectie bevat de bekende Azure-services of -resources die afhankelijk zijn van uw abonnement. Omdat resourcetypen in Azure voortdurend veranderen, zijn er mogelijk extra afhankelijkheden die hier niet worden vermeld, waardoor uw omgeving een belangrijke wijziging kan veroorzaken.

Service of resource Beïnvloed Herstelbare Bent u getroffen? Wat kunt u doen
Roltoewijzingen Ja Ja Roltoewijzingen weergeven Alle roltoewijzingen worden definitief verwijderd. U moet gebruikers, groepen en service-principals toewijzen aan bijbehorende objecten in de doelmap. U moet de roltoewijzingen opnieuw maken.
Aangepaste rollen Ja Ja Aangepaste rollen weergeven Alle aangepaste rollen worden permanent verwijderd. U moet de aangepaste rollen en eventuele roltoewijzingen opnieuw maken.
Door het systeem toegewezen beheerde identiteiten Ja Ja Beheerde identiteiten weergeven U moet de beheerde identiteiten uitschakelen en opnieuw inschakelen. U moet de roltoewijzingen opnieuw maken.
Door de gebruiker toegewezen beheerde identiteiten Ja Ja Beheerde identiteiten weergeven U moet de beheerde identiteiten verwijderen, opnieuw maken en koppelen aan de juiste resource. U moet de roltoewijzingen opnieuw maken.
Azure Key Vault Ja Ja Key Vault-toegangsbeleid weergeven U moet de tenant-id bijwerken die is gekoppeld aan de sleutelkluizen. U moet nieuwe toegangsbeleidsregels verwijderen en toevoegen.
Azure SQL-databases waarvoor Integratie van Microsoft Entra-verificatie is ingeschakeld Ja Nr. Azure SQL-databases controleren met Microsoft Entra-verificatie U kunt geen Azure SQL-database overdragen met Microsoft Entra-verificatie ingeschakeld voor een andere map. Voor meer informatie raadpleegt u Microsoft Entra-verificatie gebruiken.
Integratie van Microsoft Entra-verificatie met Azure Database for MySQL ingeschakeld Ja Nr. U kunt geen Azure-database voor MySQL (enkele en flexibele server) overdragen met Microsoft Entra-verificatie ingeschakeld voor een andere map.
Azure Database for PostgreSQL Flexible Server met Microsoft Entra-verificatieintegratie ingeschakeld of met door klant beheerde sleutel ingeschakeld Ja Nr. U kunt een Azure Database for PostgreSQL met Microsoft Entra-verificatie of met door de klant beheerde sleutel niet overdragen naar een andere map. U moet deze functies eerst uitschakelen, de server overdragen en deze functies vervolgens opnieuw inschakelen.
Azure Storage en Azure Data Lake Storage Gen2 Ja Ja U moet ACL's opnieuw maken.
Azure Files Ja In de meeste scenario's U moet ACL's opnieuw maken. Voor opslagaccounts waarvoor Entra Kerberos-verificatie is ingeschakeld, moet u Entra Kerberos-verificatie uitschakelen en opnieuw inschakelen na de overdracht. Voor Entra Domain Services wordt het overdragen naar een andere Microsoft Entra-directory waar Entra Domain Services niet is ingeschakeld, niet ondersteund.
Azure File Sync Ja Ja De opslagsynchronisatieservice en/of het opslagaccount kunnen worden verplaatst naar een andere map. Zie Veelgestelde vragen (FAQ) over Azure Files voor meer informatie
Azure Managed Disks Ja Ja Als u Schijfversleutelingssets gebruikt om Beheerde schijven te versleutelen met door de klant beheerde sleutels, moet u de door het systeem toegewezen identiteiten uitschakelen en opnieuw inschakelen die zijn gekoppeld aan Schijfversleutelingssets. En u moet de roltoewijzingen opnieuw maken, bijvoorbeeld opnieuw vereiste machtigingen verlenen aan Schijfversleutelingssets in de Sleutelkluizen.
Azure Kubernetes Service Ja Nr. U kunt uw AKS-cluster en de bijbehorende resources niet overdragen naar een andere map. Zie voor meer informatie veelgestelde vragen over Azure Kubernetes Service (AKS)
Azure Policy Ja Nr. Alle Azure Policy-objecten, waaronder aangepaste definities, toewijzingen, uitzonderingen en nalevingsgegevens. U moet definities exporteren, importeren en opnieuw toewijzen. Maak vervolgens nieuwe beleidstoewijzingen en eventuele benodigde beleidsvrijstellingen.
Microsoft Entra Domain Services. Ja Nr. U kunt een door Microsoft Entra Domain Services beheerd domein niet overdragen naar een andere map. Zie veelgestelde vragen (veelgestelde vragen) over Microsoft Entra Domain Services voor meer informatie
App-registraties Ja Ja
Microsoft Dev Box Ja Nr. U kunt een ontwikkelaarsvak en de bijbehorende resources niet overdragen naar een andere map. Zodra een abonnement naar een andere tenant wordt verplaatst, kunt u geen acties uitvoeren op uw ontwikkelvak
Azure-implementatieomgevingen Ja Nr. U kunt een omgeving en de bijbehorende resources niet overdragen naar een andere map. Zodra een abonnement naar een andere tenant wordt verplaatst, kunt u geen acties uitvoeren in uw omgeving
Azure Service Fabric Ja Nr. U moet het cluster opnieuw maken. Zie veelgestelde vragen over SF-clusters of veelgestelde vragen over BEHEERDE SF-clusters voor meer informatie
Azure Service Bus Ja Ja U moet de beheerde identiteiten verwijderen, opnieuw maken en koppelen aan de juiste resource. U moet de roltoewijzingen opnieuw maken.
Azure Synapse Analytics-werkruimte Ja Ja U moet de tenant-id bijwerken die is gekoppeld aan de Synapse Analytics-werkruimte. Als de werkruimte is gekoppeld aan een Git-opslagplaats, moet u de Git-configuratie van de werkruimte bijwerken. Zie De Synapse Analytics-werkruimte herstellen nadat u een abonnement hebt overgebracht naar een andere Microsoft Entra-map (tenant) voor meer informatie.
Azure Databricks Ja Nr. Op dit moment biedt Azure Databricks geen ondersteuning voor het verplaatsen van werkruimten naar een nieuwe tenant. Zie Uw Azure Databricks-account beheren voor meer informatie.
Azure Compute Gallery Ja Ja Repliceer de installatiekopieversies in de galerie naar andere regio's of kopieer een installatiekopie uit een andere galerie.

Waarschuwing

Als u versleuteling-at-rest gebruikt voor een resource, zoals een opslagaccount of SQL-database, die afhankelijk is van een sleutelkluis die wordt overgedragen, kan dit leiden tot een onherstelbaar scenario. Als u deze situatie hebt, moet u stappen ondernemen om een andere sleutelkluis te gebruiken of tijdelijk door de klant beheerde sleutels uit te schakelen om dit onherstelbare scenario te voorkomen.

Als u een lijst wilt ophalen van enkele Van de Azure-resources die worden beïnvloed wanneer u een abonnement overdraagt, kunt u ook een query uitvoeren in Azure Resource Graph. Zie Lijst beïnvloede resources bij het overdragen van een Azure-abonnement voor een voorbeeldquery.

Vereisten

Als u deze stappen wilt uitvoeren, hebt u het volgende nodig:

  • Bash in Azure Cloud Shell of Azure CLI
  • Eigenaar van het factureringsaccount van het abonnement dat u wilt overdragen in de bronmap
  • Een gebruikersaccount in zowel de bron- als de doelmap voor de gebruiker die de map wijzigt

Stap 1: Voorbereiden op de overdracht

Aanmelden bij bronmap

  1. Meld u als beheerder aan bij Azure.

  2. Haal een lijst met uw abonnementen op met de opdracht az account list .

    az account list --output table
    
  3. Gebruik az account set om het actieve abonnement in te stellen dat u wilt overdragen.

    az account set --subscription "Marketing"
    

De Azure Resource Graph-extensie installeren

Met de Azure CLI-extensie voor Azure Resource Graph, resource-graph, kunt u de opdracht az graph gebruiken om query's uit te voeren op resources die worden beheerd door Azure Resource Manager. U gebruikt deze opdracht in latere stappen.

  1. Gebruik az extension list om te zien of de resource-graph-extensie is geïnstalleerd.

    az extension list
    
  2. Als u een preview-versie of een oudere versie van de resource-graph-extensie gebruikt, gebruikt u az extension update om de extensie bij te werken.

    az extension update --name resource-graph
    
  3. Als de extensie resource-graph niet is geïnstalleerd, gebruikt u az extension add om de extensie te installeren.

    az extension add --name resource-graph
    

Alle roltoewijzingen opslaan

  1. Gebruik az role assignment list om alle roltoewijzingen weer te geven (inclusief overgenomen roltoewijzingen).

    Om de lijst gemakkelijker te controleren, kunt u de uitvoer exporteren als JSON, TSV of een tabel. Zie Roltoewijzingen vermelden met behulp van Azure RBAC en Azure CLI voor meer informatie.

    az role assignment list --all --include-inherited --output json > roleassignments.json
    az role assignment list --all --include-inherited --output tsv > roleassignments.tsv
    az role assignment list --all --include-inherited --output table > roleassignments.txt
    
  2. Sla de lijst met roltoewijzingen op.

    Wanneer u een abonnement overdraagt, worden alle roltoewijzingen definitief verwijderd, zodat het belangrijk is om een kopie op te slaan.

  3. Bekijk de lijst met roltoewijzingen. Mogelijk zijn er roltoewijzingen die u niet nodig hebt in de doelmap.

Aangepaste rollen opslaan

  1. Gebruik de lijst met az-roldefinities om uw aangepaste rollen weer te geven. Zie Aangepaste Azure-rollen maken of bijwerken met behulp van Azure CLI voor meer informatie.

    az role definition list --custom-role-only true --output json --query '[].{roleName:roleName, roleType:roleType}'
    
  2. Sla elke aangepaste rol op die u nodig hebt in de doelmap als een afzonderlijk JSON-bestand.

    az role definition list --name <custom_role_name> > customrolename.json
    
  3. Maak kopieën van de aangepaste rolbestanden.

  4. Wijzig elke kopie om de volgende indeling te gebruiken.

    U gebruikt deze bestanden later om de aangepaste rollen opnieuw te maken in de doelmap.

    {
      "Name": "",
      "Description": "",
      "Actions": [],
      "NotActions": [],
      "DataActions": [],
      "NotDataActions": [],
      "AssignableScopes": []
    }
    

Toewijzingen van gebruikers, groepen en service-principals bepalen

  1. Bepaal op basis van uw lijst met roltoewijzingen de gebruikers, groepen en service-principals waarnaar u in de doelmap wilt toewijzen.

    U kunt het type principal identificeren door de principalType eigenschap in elke roltoewijzing te bekijken.

  2. Maak zo nodig in de doelmap alle gebruikers, groepen of service-principals die u nodig hebt.

Roltoewijzingen voor beheerde identiteiten weergeven

Beheerde identiteiten worden niet bijgewerkt wanneer een abonnement wordt overgedragen naar een andere map. Als gevolg hiervan worden alle bestaande door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteiten verbroken. Na de overdracht kunt u alle door het systeem toegewezen beheerde identiteiten opnieuw inschakelen. Voor door de gebruiker toegewezen beheerde identiteiten moet u deze opnieuw maken en koppelen in de doelmap.

  1. Bekijk de lijst met Azure-services die beheerde identiteiten ondersteunen om te zien waar u mogelijk beheerde identiteiten gebruikt.

  2. Gebruik az ad sp list om uw door het systeem toegewezen en door de gebruiker toegewezen beheerde identiteiten weer te geven.

    az ad sp list --all --filter "servicePrincipalType eq 'ManagedIdentity'"
    
  3. Bepaal in de lijst met beheerde identiteiten welke door het systeem zijn toegewezen en welke door de gebruiker zijn toegewezen. U kunt de volgende criteria gebruiken om het type te bepalen.

    Criteria Type beheerde identiteit
    alternativeNames eigenschap bevat isExplicit=False Door het systeem toegewezen
    alternativeNames eigenschap bevat niet isExplicit Door het systeem toegewezen
    alternativeNames eigenschap bevat isExplicit=True Door de gebruiker toegewezen

    U kunt az identity list ook gebruiken om alleen door de gebruiker toegewezen beheerde identiteiten weer te geven. Zie Een door de gebruiker toegewezen beheerde identiteit maken, weergeven of verwijderen met behulp van de Azure CLI voor meer informatie.

    az identity list
    
  4. Haal een lijst op met de objectId waarden voor uw beheerde identiteiten.

  5. Zoek in uw lijst met roltoewijzingen om te zien of er roltoewijzingen zijn voor uw beheerde identiteiten.

Sleutelkluizen vermelden

Wanneer u een sleutelkluis maakt, wordt deze automatisch gekoppeld aan de standaard-Microsoft Entra-tenant-id voor het abonnement waarin deze wordt gemaakt. Alle vermeldingen van het toegangsbeleid zijn ook gekoppeld aan deze tenant-ID. Zie Een Azure Key Vault verplaatsen naar een ander abonnement voor meer informatie.

Waarschuwing

Als u versleuteling-at-rest gebruikt voor een resource, zoals een opslagaccount of SQL-database, die afhankelijk is van een sleutelkluis die wordt overgedragen, kan dit leiden tot een onherstelbaar scenario. Als u deze situatie hebt, moet u stappen ondernemen om een andere sleutelkluis te gebruiken of tijdelijk door de klant beheerde sleutels uit te schakelen om dit onherstelbare scenario te voorkomen.

  • Als u een sleutelkluis hebt, gebruikt u az keyvault show om het toegangsbeleid weer te geven. Zie Toegangsbeleid voor Key Vault toewijzen voor meer informatie.

    az keyvault show --name MyKeyVault
    

Azure SQL-databases weergeven met Microsoft Entra-verificatie

ACL's weergeven

  1. Als u Azure Data Lake Storage Gen2 gebruikt, vermeldt u de ACL's die worden toegepast op een bestand met behulp van Azure Portal of PowerShell.

  2. Als u Azure Files gebruikt, vermeldt u de ACL's die worden toegepast op een bestand.

Andere bekende resources weergeven

  1. Gebruik az account show om uw abonnements-id (in bash) op te halen.

    subscriptionId=$(az account show --output tsv --query id)
    
  2. Gebruik de az graph-extensie om andere Azure-resources weer te geven met bekende Microsoft Entra-directoryafhankelijkheden (in bash).

    az graph query -q 'resources 
        | where type != "microsoft.azureactivedirectory/b2cdirectories" 
        | where  identity <> "" or properties.tenantId <> "" or properties.encryptionSettingsCollection.enabled == true 
        | project name, type, kind, identity, tenantId, properties.tenantId' --subscriptions $subscriptionId --output yaml
    

Stap 2: Het abonnement overdragen

In deze stap brengt u het abonnement over van de bronmap naar de doelmap. De stappen verschillen, afhankelijk van of u ook het eigendom van de facturering wilt overdragen.

Waarschuwing

Wanneer u het abonnement overdraagt, worden alle roltoewijzingen in de bronmap definitief verwijderd en kunnen ze niet worden hersteld. U kunt niet teruggaan nadat u het abonnement hebt overgedragen. Zorg ervoor dat u de vorige stappen hebt voltooid voordat u deze stap gaat uitvoeren.

  1. Bepaal of u het eigendom van de facturering ook wilt overdragen naar een ander account.

  2. Draag het abonnement over naar een andere map.

  3. Zodra u klaar bent met het overdragen van het abonnement, keert u terug naar dit artikel om de resources opnieuw te maken in de doelmap.

Stap 3: Resources opnieuw maken

Aanmelden bij doelmap

  1. Meld u in de doelmap aan als de gebruiker die de overdrachtsaanvraag heeft geaccepteerd.

    Alleen de gebruiker in het nieuwe account die de overdrachtsaanvraag heeft geaccepteerd, heeft toegang om de resources te beheren.

  2. Haal een lijst met uw abonnementen op met de opdracht az account list .

    az account list --output table
    
  3. Gebruik az account set om het actieve abonnement in te stellen dat u wilt gebruiken.

    az account set --subscription "Contoso"
    

Aangepast rollen maken

Rollen toewijzen

Door het systeem toegewezen beheerde identiteiten bijwerken

  1. Door het systeem toegewezen beheerde identiteiten uitschakelen en opnieuw inschakelen.

    Azure-service Meer informatie
    Virtuele machines Beheerde identiteiten configureren voor Azure-resources op een Azure-VM met behulp van Azure CLI
    Virtuele-machineschaalsets Beheerde identiteiten configureren voor Azure-resources in een virtuele-machineschaalset met behulp van Azure CLI
    Overige services Services die beheerde identiteiten voor Azure-resources ondersteunen
  2. Gebruik az role assignment create om rollen toe te wijzen aan door het systeem toegewezen beheerde identiteiten. Zie Een beheerde identiteit toegang tot een resource toewijzen met behulp van Azure CLI voor meer informatie.

    az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
    

Door de gebruiker toegewezen beheerde identiteiten bijwerken

  1. Door de gebruiker toegewezen beheerde identiteiten verwijderen, opnieuw maken en koppelen.

    Azure-service Meer informatie
    Virtuele machines Beheerde identiteiten configureren voor Azure-resources op een Azure-VM met behulp van Azure CLI
    Virtuele-machineschaalsets Beheerde identiteiten configureren voor Azure-resources in een virtuele-machineschaalset met behulp van Azure CLI
    Overige services Services die beheerde identiteiten voor Azure-resources ondersteunen
    Een door de gebruiker toegewezen beheerde identiteit maken, weergeven of verwijderen met behulp van de Azure CLI
  2. Gebruik az role assignment create om rollen toe te wijzen aan door de gebruiker toegewezen beheerde identiteiten. Zie Een beheerde identiteit toegang tot een resource toewijzen met behulp van Azure CLI voor meer informatie.

    az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
    

Sleutelkluizen bijwerken

In deze sectie worden de basisstappen beschreven voor het bijwerken van uw sleutelkluizen. Zie Een Azure Key Vault verplaatsen naar een ander abonnement voor meer informatie.

  1. Werk de tenant-id bij die is gekoppeld aan alle bestaande sleutelkluizen in het abonnement naar de doelmap.

  2. Alle bestaande vermeldingen van het toegangsbeleid te verwijderen.

  3. Voeg nieuwe vermeldingen voor toegangsbeleid toe die zijn gekoppeld aan de doelmap.

ACL's bijwerken

  1. Als u Azure Data Lake Storage Gen2 gebruikt, wijst u de juiste ACL's toe. Zie Toegangsbeheer in Azure Data Lake Storage Gen2 voor meer informatie.

  2. Als u Azure Files gebruikt, wijst u de juiste ACL's toe.

Andere beveiligingsmethoden controleren

Hoewel roltoewijzingen worden verwijderd tijdens de overdracht, hebben gebruikers in het oorspronkelijke eigenaarsaccount mogelijk nog steeds toegang tot het abonnement via andere beveiligingsmethoden, waaronder:

  • Toegangssleutels voor services zoals Storage.
  • Beheercertificaten die de gebruikersbeheerder toegang verlenen tot abonnementsbronnen.
  • Referenties voor externe toegang voor services zoals Azure Virtual Machines.

Als u de toegang wilt verwijderen van gebruikers in de bronmap, zodat ze geen toegang hebben in de doelmap, kunt u overwegen referenties te roteren. Totdat de referenties zijn bijgewerkt, hebben gebruikers na de overdracht nog steeds toegang.

  1. Toegangssleutels voor opslagaccounts draaien. Zie Toegangssleutels voor een opslagaccount beheren voor meer informatie.

  2. Als u toegangssleutels gebruikt voor andere services, zoals Azure SQL Database of Azure Service Bus Messaging, draait u de toegangssleutels.

  3. Voor resources die geheimen gebruiken, opent u de instellingen voor de resource en werkt u het geheim bij.

  4. Werk het certificaat bij voor resources die gebruikmaken van certificaten.

Volgende stappen