你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Azure 登陆区域治理指南：将 Azure 登陆区域策略迁移到 Azure 内置策略

随着时间的推移，Azure 登陆区域自定义策略和策略计划可能会被 Azure 内置策略弃用或取代。 如果是，则应将其删除或迁移。 本文介绍如何将 Azure 登陆区域自定义策略和策略计划迁移到 Azure 内置策略。

本文档中的指南介绍了策略迁移的手动高级步骤。 它还提供了有关如何处理通过 Azure 登陆区域 Terraform 模块 或 ALZ-Bicep 管理的实现的参考。

以下信息图显示了更新进程流。

Azure 登陆区域环境的手动更新步骤

本部分介绍将 Azure 登陆区域自定义策略和计划迁移到 Azure 内置策略的通用高级步骤。

检测 Azure 登陆区域策略的更新

可以使用以下选项检测一个或多个 Azure 登陆区域策略被内置 Azure 策略取代：

• 定期查看 Azure Enterprise Scale What's new wiki ，并记下被取代的任何策略。 请参阅 此处取代的策略示例。
• 使用 Azure 治理可视化工具脚本并记下标记为已过时的任何策略。

Azure 登陆区域策略的迁移步骤

可以使用以下步骤迁移 Azure 登陆区域环境：

1. 确定迁移范围内的 Azure 登陆区域策略当前是否在 Azure 资产中的任何范围内分配。 如果使用 Azure 治理可视化工具，可以通过检查 TenantSummary 来确定策略范围。
2. 检查要迁移的 Azure 登陆区域策略是否是应更新的登陆区域自定义策略计划的一部分。
3. 查看 Azure 登陆区域自定义策略计划是否当前在 Azure 资产中的任何范围内分配迁移范围。

根据调查结果，执行以下操作。

未分配策略，而不是 Azure 登陆区域自定义策略计划的一部分

如果未在 Azure 资产中分配要迁移的策略，并且不是现有 Azure 登陆区域自定义策略计划的一部分，则你：

• 从 Azure 登陆区域中间根管理组中删除 Azure 登陆区域策略定义（例如）。 Contoso

如果 Azure 登陆区域自定义策略计划完全被内置策略计划取代，并且未在 Azure 资产中分配，则你：

• 从 Azure 登陆区域中间根管理组（例如，例如， Contoso）中删除 Azure 登陆区域自定义策略计划。

分配的策略，而不是 Azure 登陆区域自定义策略计划的一部分

如果将要迁移的策略分配到 Azure 资产中的任何范围，并且不是现有 Azure 登陆区域自定义策略计划的一部分，请执行以下步骤：

1. 根据上一个 Azure 登陆区域自定义策略定义的分配，使用具有匹配设置的 Azure 内置策略在同一范围内创建新的策略分配。
2. 在分配的所有范围内删除现有的 Azure 登陆区域策略分配。
3. 从 Azure 登陆区域中间根管理组中删除 Azure 登陆区域策略定义（例如 Contoso）。

有关如何执行上述步骤的详细指南，请参阅 迁移单个 Azure 登陆区域自定义策略。

通过 Azure 登陆区域自定义策略计划分配的策略

如果要迁移的策略是 Azure 登陆区域自定义策略计划的一部分，并在 Azure 资产中的任何范围内通过它分配，请执行以下步骤：

1. 使用相应的策略引用更新 Azure 登陆区域自定义策略计划定义。 可以使用自定义策略的通用 contoso 范围在此处找到更新的计划。
2. 更新策略引用时，请记住将策略定义 ID 的 contoso 范围更改为管理组层次结构伪根名称。 此外，更新 Azure 登陆区域自定义策略计划上的元数据信息。

有关如何执行上述步骤的详细指导，请参阅 如何更新 Azure 登陆区域自定义计划中的子定义。

如果 Azure 登陆区域自定义策略计划完全被内置策略计划取代，并在 Azure 资产中的任何范围内分配，请执行以下步骤：

1. 在同一范围内创建新的策略计划分配。 根据上一个 Azure 登陆区域自定义策略计划的分配，使用具有匹配设置的 Azure 内置策略计划。
2. 在分配的所有范围内删除现有的 Azure 登陆区域策略计划分配。
3. 从 Azure 登陆区域中间根管理组（例如，例如， Contoso）中删除 Azure 登陆区域自定义策略计划。

Azure 登陆区域 Terraform 模块部署的更新步骤

如果使用 Azure 登陆区域 Terraform 模块 来管理 Azure 登陆区域部署，本部分将参考有关如何将 Azure 登陆区域自定义策略和计划迁移到 Azure 内置策略的资源。

检测 Terraform 模块更改的更新

使用 Azure 登陆区域策略的检测更新中所述的方法来确定策略是否已在 Terraform 模块中更改。 你还将在 Azure 登陆区域 Terraform 发布页中看到策略的更改。 请参阅此处的示例。

Azure 登陆区域 Terraform 模块的迁移步骤

部署中断性变更时，Azure 登陆区域 Terraform 模块提供更新指南。 按照页面底部特定版本的升级指南进行操作。

ALZ-Bicep 部署的更新步骤

如果使用 ALZ-Bicep 来管理 Azure 登陆区域部署，本部分将参考有关如何将 Azure 登陆区域自定义策略和计划迁移到 Azure 内置策略的资源。

检测 ALZ-Bicep 策略更改的更新

使用 Azure 登陆区域策略的检测更新中所述的方法来确定策略是否已在 ALZ-Bicep 中更改。 你还将看到 ALZ-Bicep 版本中策略的更改。

ALZ-Bicep 策略的迁移步骤

ALZ-Bicep 提供了将策略从 Azure 登陆区域自定义策略迁移到 Azure 内置策略的通用指南。 有关详细信息，请参阅 如何将 Azure 登陆区域自定义策略迁移到 Azure 内置策略。

后续步骤

无论使用 Azure 门户、Bicep 还是 Terraform 来管理 Azure 登陆区域基础结构，策略都会随时间而变化。 你需要管理它们。 使用本文中所述的流作为起点，为特定的 Azure 登陆区域实现制定有关策略管理的过程。