Styrningsguide för Azure-landningszoner: Migrera Azure-landningszonsprinciper till inbyggda Azure-principer

Med tiden kan anpassade principer och principinitiativ i Azure-landningszonen vara inaktuella eller ersatta av inbyggda Azure-principer. I så fall bör de tas bort eller migreras. Den här artikeln beskriver hur du migrerar anpassade principer och principinitiativ för Azure-landningszoner till inbyggda Azure-principer.

Vägledningen i den här artikeln beskriver de manuella stegen på hög nivå för att migrera dina principer. Den innehåller även referenser om hur du hanterar implementeringar som hanteras via de Azure-verifierade modulerna för plattformens landningszoner Terraform eller Bicep lösningar.

Följande informationsgrafik visar uppdateringsprocessens flöde.

Manuella uppdateringssteg för Azure-landningszonmiljöer

I det här avsnittet beskrivs de allmänna stegen på hög nivå för att migrera anpassade principer och initiativ för Azure-landningszoner till inbyggda Azure-principer.

Identifiera uppdateringar för principer för Azure landningszoner

Du kan upptäcka att en eller flera Azure-landningszonprinciper ersätts av inbyggda Azure-principer med följande alternativ:

• Granska regelbundet Azure Enterprise Scale What's new wiki och notera alla principer som anges som ersatta. Se ett exempel på en ersatt princip här.
• Använd Azure Governance Visualizer skript och notera alla principer som har markerats som föråldrade.

Migreringssteg för Azure-landningszonsprinciper

Du kan migrera Azure-landningszonmiljöer med följande steg:

1. Kontrollera om de Azure landing zone policyer som omfattas av migreringen för närvarande har tilldelats på någon nivå i din Azure-miljö. Om du använder Azure Governance Visualizerkan du fastställa principomfånget genom att kontrollera TenantSummary.
2. Kontrollera om principerna för Azure-landningszonen som migreras ingår i ett initiativ för anpassad princip för landningszoner som ska uppdateras.
3. Se om policysatsningar för anpassade Azure-landningszoner inom migreringsomfånget för närvarande är tilldelade på någon nivå i din Azure-miljö.

Beroende på resultatet av undersökningen vidtar du följande åtgärder.

Principer som inte har tilldelats och som inte ingår i det anpassade principinitiativet för Azure landningszon

Om policyn som migreras inte har tilldelats i din Azure-miljö och inte ingår i ett befintligt initiativ för anpassad policy i Azure-landningszon, kan du:

• Ta bort principdefinitionen för Azure-landningszonen från den mellanliggande rothanteringsgruppen i Azure-landningszonen (till exempel Contoso).

Om ett initiativ med anpassade principer i en Azure-landningszon helt ersätts av ett inbyggt principinitiativ och inte är tilldelat i din Azure-miljö:

• Ta bort initiativet för anpassad princip i Azure-landningszonen från den mellanliggande rothanteringsgruppen för Azure-landningszonen (till exempel Contoso).

Tilldelade principer som inte är en del av det anpassade policyinitiativet för Azure-landningszoner

Om policyn som ska migreras är tilldelad till något omfång i din Azure-egendom och inte ingår i ett befintligt initiativ för anpassad policy för Azure-landningszoner, gör du följande:

1. Skapa nya principtilldelningar med samma omfång med hjälp av inbyggda Azure-principer med matchande inställningar enligt tilldelningen av den tidigare anpassade principdefinitionen för Azure-landningszonen.
2. Ta bort befintliga principtilldelningar för Azure-landningszoner i alla omfång, där de är tilldelade.
3. Ta bort principdefinitionen för Azure-landningszonen från den mellanliggande rothanteringsgruppen i Azure-landningszonen (till exempel Contoso).

Detaljerad vägledning om hur du utför föregående steg finns i Migrera anpassad princip för enskild Azure-landningszon.

Policyer som tilldelats via anpassat policyinitiativ i Azure-landningszoner

Om policyn som ska migreras är en del av Azure-landningszoners anpassade policypaket och detta tillämpas på någon nivå i din Azure-miljö, följer du dessa steg:

1. Uppdatera den anpassade principinitiativdefinitionen för Azure-landningszonen med lämpliga principreferenser. Du hittar de uppdaterade initiativen här med ett generiskt contoso tillämpningsområde för anpassade policyer.
2. När du uppdaterar principreferenserna ska du komma ihåg att ändra omfånget för principdefinitions-ID:n contoso till ditt pseudorotnamn för hanteringsgrupphierarkin. I Azure-landningszonen, uppdatera även metadatainformationen för det anpassade principinitiativet.

Detaljerad vägledning om hur du utför de föregående stegen finns i Så här uppdaterar du barndefinitioner i anpassade initiativ för Azure-landningszonen.

Om ett anpassat policyinitiativ i en landningszon för Azure helt ersätts av ett inbyggt policyinitiativ och tilldelas i något omfång i din Azure-miljö, följer du dessa steg:

1. Skapa nya principinitiativtilldelningar i samma omfång. Använd det inbyggda principinitiativet för Azure med inställningar som matchar tilldelningen av det tidigare anpassade principinitiativet för Azure-landningszonen.
2. Ta bort den befintliga Azure-landningszonpolicyinitativtilldelningen från alla omfång, där den har tilldelats.
3. Ta bort det anpassade principinitiativet i Azure-landningszonen från den intermediära hanteringsrotgruppen för Azure-landningszonen (till exempel Contoso).

Uppdateringssteg för distributioner av Terraform Azure-verifierade moduler i plattformens landningszoner

Om du använder Terraform-modulenläser du uppdateringsguiden för .

Migreringssteg för Terraform-modulen i Azure-landningszonen

Terraform-modulen i Azure-landningszonen ger uppdateringsvägledning när du distribuerar icke-bakåtkompatibla ändringar. Följ uppgraderingsvägledningen för din specifika version som finns i slutet av den här artikeln.

Uppdateringssteg för ALZ-Bicep distributioner

Om du använder ALZ-Bicep för att hantera distributionen av din Azure-landningszon refererar det här avsnittet till resurser om hur du migrerar anpassade principer och initiativ för Azure-landningszoner till Azure:s inbyggda principer.

Identifiera uppdateringar för ALZ-Bicep principändringar

Använd metoderna som beskrivs i Identifiera uppdateringar för Azure-landningszonprinciper för att avgöra om principerna har ändrats i ALZ-Bicep. Du kommer även att se ändringar i policydokumenten i versionerna ochALZ-Bicep,.

Migreringssteg för ALZ-Bicep policyer

ALZ-Bicep ger allmän vägledning för att migrera principer från anpassade principer för Azure-landningszoner till inbyggda Azure-principer. Mer information finns i Så här migrerar du anpassade principer för Azure-landningszoner till inbyggda Azure-principer.

Nästa steg

Oavsett om du använder Azure-portalen, Bicep eller Terraform för att hantera din Infrastruktur för Azure-landningszoner måste du hantera principändringar över tid. Använd flödet i den här artikeln som utgångspunkt för att utveckla processer kring principhantering för implementeringen av Din Azure-landningszon.