從 Azure Sphere 移轉至 Azure Sphere (整合式)
在 2027 年 9 月 27 日,Azure Sphere 將會淘汰其舊版服務介面、Azure Sphere(舊版)API(也稱為 PAPI),以及 Azure Sphere CLI(也稱為 azsphere)。 所有 Azure Sphere (舊版) 使用者都必須在此日期之前移轉至 Azure Sphere(整合式)。 Azure Sphere (整合式) 是 Azure 平臺的原生,並提供類似取代 Azure Sphere (舊版) 介面的類似取代。 Azure Sphere(整合)也提供大幅改善安全性(Azure RBAC 整合)、可用性(Azure 入口網站整合),以及可檢視性/警示(Azure 監視器整合)。 如需詳細資訊,請參閱這個部落格。
本文旨在協助 Azure Sphere 系統管理員和工程小組瞭解並規劃移轉。 我們已設計移轉程式,讓您在移轉項目中視需要管理 Azure Sphere(整合)和 Azure Sphere(舊版)中的 Azure Sphere 裝置。 此外,您的舊版腳本、自動化和介面,可以在您的工程小組根據 Azure Sphere(整合式)建置及測試更新的版本時,運作不中斷。
移轉程式可以細分成下列工作區域:
- 將舊版租使用者整合到 Azure 入口網站 中的 Azure Sphere 目錄
- 移轉交互式使用者工作流程
- 移轉自動化程式和介面
將 Azure Sphere (舊版) 租使用者整合到 Azure Sphere 目錄
移轉程式中的第一個步驟必須先完成,才能開始任何其他工作。 Azure 入口網站 整合功能會準備 Azure Sphere(舊版)租使用者,以在 Azure 環境中管理成為 Azure Sphere 目錄。 租使用者及其資源保持不變,但您現在可以透過 Azure 的使用者介面存取和管理它們,包括 Azure 入口網站、Azure CLI 的 Azure Sphere 擴充功能,以及適用於 PowerShell 的 Azure Sphere。
整合程式會執行兩個步驟:
- 它會將 Azure 資源識別符指派給租使用者中的每個資源,讓資源由 Azure Resource Manager 管理。
- 它會將舊版租用戶使用者存取角色對應至 Azure 角色型 存取控制 (RBAC) 所管理的使用者存取角色。 在整合程式期間顯示建議的存取角色對應時,您可以接受、修改或拒絕它們。 在整合步驟完成之後,您可以隨時修改使用者存取權。
一般而言,整合步驟只需要幾分鐘的時間,一旦完成,任何在整合期間授與存取權的使用者都可以立即開始在任何 Azure 使用者介面中管理新的 Azure Sphere 目錄。 整合程式不會封鎖任何現有的工作流程,建議您儘快這麼做,以便開始探索新的 Azure Sphere(整合式)介面和優點。 完成之後,您就可以開始進行其餘的移轉工作。
移轉交互式使用者工作流程
互動式工作流程是個別使用 「azsphere」 CLI 的工作流程(或使用會使用 “azsphere” CLI 的腳本來執行工作。 這類互動式工作流程可能會在製造(例如將新裝置宣告至您的租使用者)、作業(例如管理與租使用者相關的憑證)或開發人員使用案例中發生(例如,將開發人員裝置設定為不會接收無線更新)。
規劃工作流程移轉時,您必須考慮訓練使用者、更新內部檔,以及在腳本以互動方式使用的情況下,更新這些腳本。 您也可以考慮利用 Azure Sphere(整合式):Azure Sphere 在 Azure 入口網站 中簡化的介面,以及 Azure 角色型 存取控制 (RBAC) 中的強固使用者存取管理。
請務必考慮特定使用者工作流程是否在 Web 介面而非 CLI 中完成。 Azure Sphere (整合式) 可讓您在 Azure 入口網站中管理目錄,並針對許多互動式使用者工作流程,入口網站提供更豐富且更簡單的用戶體驗。 例如,在 Azure 入口網站,您可以在單一步驟中同時上傳和部署映射,如下所示。
其次,請考慮如何更有效地限制使用者存取。 Azure Sphere (Integrated) 支援 Azure 角色型 存取控制 (RBAC),可讓比 Azure Sphere 更健全且更精細的使用者存取權(舊版)。
這是最低許可權模型,其設計目的是只授與個別使用者對其作業所需的資源存取權,以及只執行其作業所需使用者動作的許可權。 例如,在 Azure Sphere 目錄中,您可以允許使用者檢視生產裝置群組,並在該裝置群組中建立新的部署,但特別防止他們在裝置群組中移入和移出裝置群組,或檢視目錄中的其他裝置群組。
如果您之前尚未使用 Azure RBAC,建議您深入瞭解基本 Azure RBAC 概念,例如範圍和資源階層,因為它們是瞭解將特定 RBAC 角色許可權套用至目錄的影響,而不是套用至目錄的子資源,例如裝置群組。
為了協助,我們為多個商務使用者提供了範例 RBAC 設定,說明 Azure Sphere 的 RBAC 的一些最佳做法。 此範例強調針對一般商務使用者需求量身打造的許可權,包括為 Azure Sphere 裝置生產應用程式的軟體工程師、管理生產 Azure Sphere 裝置車隊的 OT 技術人員,以及建置 Azure Sphere 裝置的製造商。
拿掉使用者對 Azure Sphere (舊版) 租使用者的存取權
一旦移轉工作流程,且您的使用者正使用 Azure Sphere(整合式)全職,強烈建議您將每個使用者的許可權從舊版租使用者中移除,以消除非預期的存取權。 否則,用戶可以繼續使用舊版來避開您在 Azure RBAC 中設定的精細訪問控制。 拿掉舊版使用者存取也有助於確保這些使用者在 Azure Sphere 中成功執行其所有必要工作(整合式),而且不會受到舊版淘汰的影響。
處理轉換或測試自動化程式的使用者可能需要保留其舊版租用戶訪問許可權一段時間。
移轉自動化程式和介面
除了移轉互動式工作流程之外,如果您的組織已建置使用 Azure Sphere(舊版)腳本的自動化程式,或以 Azure Sphere (舊版) API 為基礎的使用者介面,您必須重新處理這些程式以使用 Azure Sphere(整合式)。 若要讓移轉程式盡可能簡單,您可以在生產環境舊版自動化執行時主動開發和測試更新的自動化。 測試無法反轉的命令時,需要小心,例如將裝置宣告至不想長期存放的目錄。
針對您在 Azure Sphere (整合) API 上建置的每個介面,您必須建立Microsoft Entra 存取令牌,以允許介面存取 API 連接點。 如需有關存取令牌和呼叫 Azure REST API 的資訊,請參閱 Azure REST API 參考檔。
將更新的自動化程式和介面部署至生產環境之後,應該移除用來驗證舊版自動化和介面的服務主體的 Azure Sphere(舊版)存取權。 拿掉所有服務主體存取可確保所有自動化程式都會完全移轉,而且不會受到舊版淘汰影響。
關閉舊版租用戶的剩餘存取權
移轉程序的最後一個步驟是移除任何剩餘的 Azure Sphere(舊版)存取權。 目前,即使租使用者已整合至 Azure 入口網站,Azure Sphere 租使用者至少需要一個作用中的舊版系統管理員帳戶。 我們正在處理可讓您刪除最後一個舊版租用戶系統管理員帳戶的功能,但目前無法使用此功能。 當我們發行此功能時,我們會在 Azure Update 上宣佈其可用性。
利用 Azure Sphere 中可用的功能(整合式)
雖然不需要使用 Azure Sphere(整合式),但強烈建議您作為移轉計劃的一部分,探索並利用 Azure Sphere 目前可用的其他強大 Azure 服務。
其中一個最強大的是 Azure 監視器。 Azure 監視器提供各種車隊監視功能,例如收集效能計量和診斷數據,以及從 Azure Sphere 裝置和 Azure Sphere 安全性服務查詢活動記錄中的事件。
您可以使用 Azure 監視器數據,將裝置機隊健康情況與 Azure Sphere 安全性服務上發生的事件相互關聯,例如發行新的應用程式更新。 您也可以設定重大事件的警示,例如 Azure Sphere 租用戶憑證即將到期。 如需詳細資訊,請參閱 監視 Azure Sphere 車隊和裝置健康情況。
用戶入門並尋找說明
只要將 Azure Sphere(舊版)Tant 整合到 Azure Sphere (整合式) 目錄 ,並開始探索在 Azure CLI 或 Azure 入口網站中使用 Azure Sphere,即可輕鬆開始使用。 Azure Sphere(舊版)完全支援到 2027 年 9 月 27 日淘汰日期為止。 所有移轉活動都必須在該日期前完成。 如果您有有關移轉或需要技術支援的問題,您可以找到社群專家關於 Microsoft問答的解答,也可以連絡 AZSPPGSUP@microsoft.com。