Guia de governança da zona de destino do Azure: Migrar políticas de zona de destino do Azure para políticas internas do Azure

Com o tempo, as políticas personalizadas e as iniciativas políticas da zona de destino do Azure podem ser preteridas ou substituídas por políticas internas do Azure. Nesse caso, eles devem ser removidos ou migrados. Este artigo descreve como migrar políticas personalizadas e iniciativas de política da zona de destino do Azure para políticas internas do Azure.

As diretrizes neste artigo descrevem as etapas manuais de alto nível para migrar suas políticas. Ele também fornece referências sobre como processar implementações gerenciadas por meio dos Módulos Verificados do Azure para as ofertas de Zonas de Destino de Plataforma Terraform ou Bicep.

O infográfico a seguir mostra o fluxo do processo de atualização.

Etapas manuais de atualização para ambientes de zona de destino do Azure

Esta seção descreve as etapas genéricas e de alto nível para migrar políticas e iniciativas personalizadas da zona de destino do Azure para políticas internas do Azure.

Detectar atualizações para políticas de zona de destino do Azure

Você pode detectar que uma ou mais políticas de zona de destino do Azure são substituídas por políticas internas do Azure com as seguintes opções:

• Examine periodicamente o wiki Novidades na Escala do Azure Enterprise e observe as políticas indicadas como substituídas. Veja um exemplo de política substituída aqui.
• Use o script Visualizador de Governança do Azure e observe todas as políticas marcadas como obsoletas.

Etapas de migração para políticas de zona de destino do Azure

Você pode migrar ambientes de zona de destino do Azure com as seguintes etapas:

1. Determine se as políticas de zona de destino do Azure no escopo da migração estão atribuídas em qualquer escopo em seu ambiente do Azure. Se estiver usando o Visualizador de Governança do Azure, você poderá determinar o escopo da política verificando TenantSummary.
2. Verifique se as políticas de zona de destino do Azure que estão sendo migradas fazem parte de uma iniciativa de política personalizada da zona de destino que deve ser atualizada.
3. Veja se as iniciativas políticas de zona de destino do Azure no escopo da migração estão atribuídas em qualquer escopo em seu ambiente do Azure.

Dependendo dos resultados da investigação, execute as seguintes ações.

Políticas não atribuídas e não fazem parte da iniciativa de política personalizada da zona de destino do Azure

Se a política que está sendo migrada não estiver atribuída em sua propriedade do Azure e não fizer parte de uma iniciativa política personalizada da zona de destino do Azure:

• Exclua a definição de política de zona de destino do Azure do grupo de gerenciamento raiz intermediário da zona de destino do Azure (por exemplo, Contoso).

Se uma iniciativa política personalizada de zona de destino do Azure for totalmente substituída por uma iniciativa política interna e não for atribuída em sua propriedade do Azure:

• Exclua a iniciativa política personalizada de zona de destino do Azure do grupo de gerenciamento raiz intermediário da zona de destino do Azure (por exemplo, Contoso).

Políticas atribuídas que não fazem parte da iniciativa de política personalizada da zona de entrada do Azure

Se a política a ser migrada for atribuída a qualquer escopo em sua propriedade do Azure e não fizer parte de uma iniciativa de política personalizada da zona de destino do Azure existente, execute estas etapas:

1. Crie novas atribuições de política nos mesmos escopos usando as políticas integradas do Azure com configurações que correspondem à atribuição da definição de política personalizada da zona de aterrissagem do Azure anterior.
2. Exclua a atribuição de política de zona de destino do Azure existente em todos os escopos, quando atribuída.
3. Exclua a definição de política de zona de destino do Azure do grupo de gerenciamento raiz intermediário da zona de destino do Azure (por exemplo, Contoso).

Para obter diretrizes detalhadas sobre como executar as etapas anteriores, consulte Migrar uma única política personalizada de zona de aterrissagem do Azure.

Políticas atribuídas por meio da iniciativa de política personalizada da zona de destino do Azure

Se a política a ser migrada fizer parte de uma iniciativa política personalizada de zona de aterrissagem do Azure e for atribuída por ela em qualquer escopo em seu ambiente do Azure, siga estas etapas:

1. Atualize a definição de iniciativa de política personalizada da zona de destino do Azure com as referências de política apropriadas. Você pode encontrar as iniciativas atualizadas aqui, com um escopo genérico contoso para políticas personalizadas.
2. Ao atualizar as referências da política, lembre-se de alterar o escopo contoso para as IDs de definição de política para o nome pseudo-raiz da hierarquia do grupo de gerenciamento. Além disso, atualize as informações de metadados na iniciativa de política personalizada da zona de destino do Azure.

Para obter diretrizes detalhadas de como executar as etapas anteriores, confira Como atualizar definições filho em iniciativas personalizadas de zona de destino do Azure.

Se uma iniciativa política personalizada de zona de destino do Azure for totalmente substituída por uma iniciativa política interna, e atribuída em qualquer escopo em sua propriedade do Azure, siga estas etapas:

1. Crie novas atribuições de iniciativa de política nos mesmos escopos. Use a iniciativa política interna do Azure com as configurações correspondentes de acordo com a atribuição da iniciativa política personalizada de zona de destino do Azure anterior.
2. Exclua a atribuição de iniciativa política de zona de destino do Azure existente em todos os escopos, quando atribuída.
3. Exclua a iniciativa política personalizada de zona de destino do Azure do grupo de gerenciamento raiz intermediário da zona de destino do Azure (por exemplo, Contoso).

Etapas de atualização de Módulos Verificados do Azure do Terraform para implantações de módulos de zonas de destino da plataforma

Se você usa o módulo do Terraform, consulte o guia de atualização.

Etapas de migração para o módulo Terraform da zona de destino do Azure

O módulo do Terraform de zona de destino do Azure fornece diretrizes de atualização ao implantar alterações interruptivas. Siga as diretrizes de atualização para sua versão específica que está no final deste artigo.

Etapas de atualização para implantações de ALZ-Bicep

Se você estiver usando o ALZ-Bicep para gerenciar a implantação da zona de destino do Azure, esta seção referencia recursos sobre como migrar políticas e iniciativas personalizadas da zona de destino do Azure para políticas incorporadas do Azure.

Detectar atualizações de alterações de política de ALZ-Bicep

Use os métodos descritos em Detectar atualizações nas políticas de zona de aterrissagem do Azure para determinar se as políticas foram alteradas no ALZ-Bicep. Você também verá alterações nas políticas em versões de ALZ-Bicep.

Etapas de migração para políticas de ALZ-Bicep

ALZ-Bicep fornece diretrizes genéricas para migrar políticas personalizadas da zona de aterrissagem do Azure para políticas incorporadas do Azure. Para obter mais informações, consulte Como migrar políticas personalizadas da zona de destino do Azure para políticas internas do Azure.

Próximas etapas

Se você usar o portal do Azure, o Bicep ou o Terraform para gerenciar sua infraestrutura de zona de destino do Azure, será necessário gerenciar as alterações de política ao longo do tempo. Use o fluxo neste artigo como ponto de partida para desenvolver processos em torno do gerenciamento de políticas para a implementação da zona de destino do Azure.