Migrar recursos de identidade para o Azure global
Importante
Desde agosto de 2018, não aceitamos mais novos clientes nem implantamos novos recursos e serviços nos locais originais da Microsoft Cloud da Alemanha.
Com base na evolução das necessidades dos clientes, lançamos recentemente duas novas regiões de datacenter na Alemanha e oferecemos aos clientes residência de dados, conectividade completa com a rede global em nuvem da Microsoft e preços competitivos no mercado.
Além disso, no dia 30 de setembro de 2020, anunciamos que a Microsoft Cloud Alemanha seria encerrada no dia 29 de outubro de 2021. Mais detalhes estão disponíveis aqui: https://www.microsoft.com/cloud-platform/germany-cloud-regions.
Aproveite a amplitude da funcionalidade, a segurança de nível empresarial e os recursos abrangentes disponíveis em nossas novas regiões alemãs de datacenter migrando hoje.
Este artigo tem informações que podem ajudá-lo a migrar recursos de identidade do Azure Alemanha para o Azure global.
As diretrizes sobre identidade/locatários destinam-se a clientes somente do Azure. Se você usar locatários comuns do Azure AD (Azure Active Directory) para o Azure e o Microsoft 365 (ou outros produtos da Microsoft), haverá complexidades na migração de identidade e você deverá primeiro entrar em contato com o Gerente de Contas antes de usar essas diretrizes de migração.
Azure Active Directory
O Azure AD no Azure Alemanha é separado do Azure AD no Azure global. No momento, você não pode mover usuários do Azure AD do Azure Alemanha para o Azure global.
Os nomes de locatário padrão no Azure Alemanha e no Azure global são sempre diferentes porque o Azure anexa automaticamente um sufixo com base no ambiente. Por exemplo, um nome de usuário para um membro do locatário da contoso no Azure global é user1@contoso.microsoftazure.com . No Azure Alemanha, é user1@contoso.microsoftazure.de .
Quando os nomes de domínio personalizado (como contoso.com) no Azure AD, você deve registrar o nome de domínio no Azure. Os nomes de domínio personalizado podem ser definidos em somente um ambiente de nuvem por vez. A validação do domínio falha quando o domínio já está registrado em qualquer instância do Azure Active Directory. Por exemplo, o usuário user1@contoso.com que existe no Azure Alemanha também não pode existir no Azure global com o mesmo nome ao mesmo tempo. O registro de contoso.com falhará.
Uma migração “soft” na qual alguns usuários já estão no novo ambiente e alguns usuários ainda estão no ambiente antigo requer nomes de login diferentes para os diferentes ambientes de nuvem.
Não abrangemos todos os cenários de migração possíveis neste artigo. Uma recomendação depende, por exemplo, de como provisionar usuários, quais opções você tem para usar nomes de usuário diferentes ou UserPrincipalNames e outras dependências. Mas compilamos algumas dicas para ajudá-lo a inventariar usuários e grupos em seu ambiente atual.
Para obter uma lista de todos os cmdlets relacionados ao Azure AD, execute:
Get-Help Get-AzureAD*
Usuários de inventário
Para obter uma visão geral de todos os usuários e grupos que existem em sua instância do Azure AD:
Get-AzureADUser -All $true
Para listar apenas contas habilitadas, adicione o seguinte filtro:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}
Para fazer um despejo completo de todos os atributos, caso você se esqueça de algo:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *
Para selecionar os atributos necessários para recriar os usuários:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname
Para exportar a lista para o Excel, use o cmdlet Export-Csv no final da lista. A exportação completa pode se parecer com este exemplo:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8
Observação
Não é possível migrar senhas. Em vez disso, você deve atribuir novas senhas ou usar um mecanismo de autoatendimento, dependendo do seu cenário.
Além disso, dependendo do seu ambiente, você poderá precisar coletar outras informações como, por exemplo, valores para Extensions, DirectReport ou LicenseDetail.
Formate seu arquivo CSV conforme necessário. Em seguida, siga as etapas descritas em Importar dados do CSV para recriar os usuários em seu novo ambiente.
Grupos de inventário
Para documentar a associação ao grupo:
Get-AzureADGroup
Para obter a lista de membros para cada grupo:
Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}
Aplicativos e entidades de serviço de inventário
Embora seja necessário recriar todas as entidades de serviço e aplicativos, é uma boa prática documentar o status de entidades de serviço e aplicativos. Você pode usar os seguintes cmdlets para obter uma lista abrangente de todas as entidades de serviço:
Get-AzureADServicePrincipal |Format-List *
Get-AzureADApplication |Format-List *
Você pode obter mais informações usando outros cmdlets que começam com Get-AzureADServicePrincipal*
ou Get-AzureADApplication*
.
Funções de diretório de inventário
Para documentar a atribuição de função atual:
Get-AzureADDirectoryRole
Veja cada função para encontrar usuários ou aplicativos associados à função:
Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}
Para obter mais informações:
- Saiba mais sobre soluções de identidade híbrida.
- Leia a postagem no blog Usar o Azure AD Connect com várias nuvens para saber mais sobre as maneiras como você pode sincronizar com diferentes ambientes de nuvem.
- Saiba mais sobre o Azure Active Directory.
- Leia sobre os nomes de domínio personalizado.
- Saiba como importar dados do CSV para o Azure AD.
Azure AD Connect
O Azure AD Connect é uma ferramenta que sincroniza seus dados de identidade entre uma instância do Active Directory local e o Azure Active Directory (Azure AD). A versão atual do Azure AD Connect funciona tanto para o Azure Alemanha quanto para o Azure global. O Azure AD Connect pode ser sincronizado com apenas uma instância do Azure AD por vez. Se você quiser sincronizar com o Azure Alemanha e o Azure global ao mesmo tempo, considere estas opções:
- Use um servidor adicional para uma segunda instância do Azure AD Connect. Você não pode ter várias instâncias do Azure AD Connect no mesmo servidor.
- Defina um novo nome de login para seus usuários. A parte do domínio (após @ ) do nome de login deve ser diferente em cada ambiente.
- Defina uma “fonte de verdade” clara quando você também sincronizar para trás (do Azure AD para o Active Directory local).
Se você já usa o Azure AD Connect para sincronizar com o Azure Alemanha, confirme se migra todos os usuários criados manualmente. O cmdlet do PowerShell a seguir lista todos os usuários que não são sincronizados usando o Azure AD Connect:
Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}
Para obter mais informações:
- Saiba mais sobre o Azure AD Connect.
Autenticação Multifator
Você deve criar usuários e redefinir sua instância da Autenticação Multifator do Azure AD em seu novo ambiente.
Para obter uma lista de contas de usuário para as quais a autenticação multifator está habilitada ou é imposta:
- Entre no portal do Azure.
- Selecione Usuários>Todos os Usuários>Autenticação Multifator.
- Quando você for redirecionado para a página do serviço de autenticação multifator, defina os filtros apropriados para obter uma lista de usuários.
Para obter mais informações:
- Saiba mais sobre a Autenticação Multifator do Azure AD.
Próximas etapas
Conheça as ferramentas, as técnicas e as recomendações para migrar recursos nas seguintes categorias de serviço: