Migrar recursos identitários para o Azure global
Importante
Desde agosto de 2018 que não aceitamos novos clientes ou implementamos quaisquer novas funcionalidades e serviços nas localizações originais da Microsoft Cloud Germany.
Com base na evolução das necessidades dos clientes, lançámos recentemente duas novas regiões de datacenter na Alemanha, oferecendo residência de dados ao cliente, conectividade total com a rede global de nuvem da Microsoft, bem como preços competitivos de mercado.
Além disso, no dia 30 de setembro de 2020, anunciou que a Microsoft Cloud Germany fecharia a 29 de outubro de 2021. Mais detalhes estão disponíveis aqui: https://www.microsoft.com/cloud-platform/germany-cloud-regions.
Aproveite a amplitude da funcionalidade, a segurança de nível empresarial e as funcionalidades abrangentes disponíveis nas nossas novas regiões alemãs de datacenter migrando hoje.
Este artigo tem informações que podem ajudá-lo a migrar recursos de identidade Azure da Alemanha para o Azure global.
A orientação sobre identidade/inquilinos destina-se a clientes apenas azure. Se utilizar inquilinos comuns Azure Ative Directory (Azure AD) para a Azure e Microsoft 365 (ou outros produtos da Microsoft), existem complexidades na migração de identidade e deve primeiro contactar o seu Gestor de Conta antes de utilizar esta orientação de migração.
Azure Active Directory
A Azure AD em Azure Alemanha é separada da Azure AD em Azure global. Atualmente, não é possível transferir os utilizadores da Azure AD do Azure Germany para o Global Azure.
Os nomes de inquilinos padrão na Azure Alemanha e global Azure são sempre diferentes porque a Azure anexa automaticamente um sufixo baseado no ambiente. Por exemplo, um nome de utilizador para um membro do inquilino contoso em Azure global é user1@contoso.microsoftazure.com. Na Alemanha Azure, é user1@contoso.microsoftazure.de.
Quando utilizar nomes de domínio personalizados (como contoso.com) em Azure AD, deve registar o nome de domínio em Azure. Os nomes de domínio personalizados podem ser definidos apenas num ambiente de nuvem de cada vez. A validação de domínio falha quando o domínio já está registado em qualquer caso de Azure Ative Directory. Por exemplo, o utilizador user1@contoso.com que existe na Azure Alemanha também não pode existir no Azure global com o mesmo nome ao mesmo tempo. O registo de contoso.com falharia.
Uma migração "suave" em que alguns utilizadores já estão no novo ambiente e alguns utilizadores ainda estão no ambiente antigo requer diferentes nomes de inscrição para os diferentes ambientes em nuvem.
Não cobrimos todos os cenários de migração possíveis neste artigo. Uma recomendação depende, por exemplo, da forma como fornece os utilizadores, quais as opções que tem para usar diferentes nomes de utilizador ou nomes de utilizador, e outras dependências. Mas compilamos algumas dicas para ajudá-lo a inventariar utilizadores e grupos no seu ambiente atual.
Para obter uma lista de todos os cmdlets relacionados com Azure AD, corra:
Get-Help Get-AzureAD*
Utilizadores de inventário
Para obter uma visão geral de todos os utilizadores e grupos que existem no seu exemplo AD Azure:
Get-AzureADUser -All $true
Para listar apenas contas ativadas, adicione o seguinte filtro:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}
Para fazer uma descarga completa de todos os atributos, caso se esqueça de algo:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *
Para selecionar os atributos necessários para recriar os utilizadores:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname
Para exportar a lista para Excel, utilize a cmdlet Export-Csv no final desta lista. Uma exportação completa pode parecer este exemplo:
Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8
Nota
Não podes migrar senhas. Em vez disso, deve atribuir novas palavras-passe ou utilizar um mecanismo de autosserviço, dependendo do seu cenário.
Além disso, dependendo do seu ambiente, poderá necessitar de recolher outras informações, por exemplo, valores para Extensões, DirectReport ou LicenseDetail.
Formate o seu ficheiro CSV conforme necessário. Em seguida, siga os passos descritos nos dados de importação da CSV para recriar os utilizadores no seu novo ambiente.
Grupos de inventário
Para documentar a adesão ao grupo:
Get-AzureADGroup
Para obter a lista de membros para cada grupo:
Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}
Princípios e aplicações de serviços de inventário
Embora tenha de recriar todos os diretores de serviços e aplicações, é uma boa prática documentar o estado dos principais de serviço e aplicações. Pode utilizar os seguintes cmdlets para obter uma extensa lista de todos os principais de serviço:
Get-AzureADServicePrincipal |Format-List *
Get-AzureADApplication |Format-List *
Pode obter mais informações utilizando outros cmdlets que começam com Get-AzureADServicePrincipal*
ou .Get-AzureADApplication*
Funções de diretório de inventário
Para documentar a atribuição de funções em curso:
Get-AzureADDirectoryRole
Caminhe por cada função para encontrar utilizadores ou aplicações que estejam associadas ao papel:
Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}
Para obter mais informações:
- Conheça as soluções de identidade híbridas.
- Leia o post do blog Use Azure AD Ligação com várias nuvens para aprender sobre formas de sincronizar com diferentes ambientes em nuvem.
- Saiba mais sobre Azure Ative Directory.
- Leia sobre nomes de domínio personalizados.
- Saiba como importar dados de CSV para Azure AD.
Azure AD Connect
Azure AD Ligação é uma ferramenta que sincroniza os seus dados de identidade entre um Ative Directory no local instância e Azure Ative Directory (Azure AD). A versão atual do Azure AD Ligação funciona tanto para a Azure Alemanha como para a Global Azure. A azure AD Ligação pode sincronizar apenas uma instância AD Azure de cada vez. Se quiser sincronizar com a Azure Alemanha e o Global Azure ao mesmo tempo, considere estas opções:
- Utilize um servidor adicional para uma segunda instância de Ligação Azure AD. Não pode ter várias instâncias de Azure AD Ligação no mesmo servidor.
- Defina um novo nome de inscrição para os seus utilizadores. A parte de domínio (depois @) do nome de inscrição deve ser diferente em cada ambiente.
- Defina uma clara "fonte de verdade" quando também sincroniza para trás (de Azure AD a Ative Directory no local).
Se já utilizar o Azure AD Ligação sincronizar de e para a Azure Germany, certifique-se de que migra qualquer utilizador criado manualmente. O cmdlet PowerShell que se segue lista todos os utilizadores que não estão sincronizados utilizando Ligação AZure AD:
Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}
Para obter mais informações:
- Saiba mais sobre o Azure AD Ligação.
Multi-Factor Authentication
Tem de recriar os utilizadores e redefinir a sua instância de autenticação multi-factor Azure AD no seu novo ambiente.
Para obter uma lista de contas de utilizador para as quais a autenticação de vários fatores está ativada ou aplicada:
- Inicie sessão no portal do Azure.
- Selecione UtilizadoresTodo> a >autenticação do fator de utilizadores.
- Quando for redirecionado para a página de serviço de autenticação multi-factor, desafase os filtros apropriados para obter uma lista de utilizadores.
Para obter mais informações:
- Saiba mais sobre a autenticação multi-factor Azure AD.
Passos seguintes
Saiba mais sobre ferramentas, técnicas e recomendações para a migração de recursos nas seguintes categorias de serviços: