共用方式為

案例:複製登陸區域管理群組來轉換環境

  • 發行項

本文說明將環境轉換為 Azure 登陸區域概念架構的範例方法,方法是將登陸區域管理群組與僅限 稽核模式中的 原則複製。 透過這種方法,您可以快速存取新的所需目標架構,然後評估應用程式或工作負載訂用帳戶的合規性。 這種方法可消除影響應用程式小組的風險,因為原則僅 處於 稽核模式。

轉換至 Azure 登陸區域概念架構

在實作此方法之前,請先檢閱 Azure 登陸區域概念架構 Azure 登陸區域設計原則 ,以及 Azure 登陸區域設計區域

使用此方法轉換至 Azure 登陸區域概念架構:

  1. Azure 登陸區域加速器 部署至與目前環境平行的相同 Microsoft Entra ID 租使用者。 此方法提供順暢且分階段的轉換至新的登陸區域架構,且對作用中工作負載的中斷最少。

    此部署會建立新的管理群組結構。 此結構與 Azure 登陸區域設計原則和建議一致。 它也可確保這些變更不會影響現有的環境。

    如需在移轉期間將應用程式和服務中斷降到最低的資訊,請參閱 採用原則導向的護欄

  2. 若要複製登陸區域管理群組及其子系( 下圖中的 corp online ),包括所有原則指派,請將它們設定為 僅限 稽核模式。 在原則指派上,將 enforcementMode 屬性 設定為 DoNotEnforceDisabled

    此方法可讓您快速存取新的所需目標架構。 然後,應用程式小組可以評估原則,而不會有影響作用中應用程式的風險。

    Diagram that shows duplicate brownfield landing zones with audit only policies.

    注意

    這種方法沒有額外的成本,因為它只會複製管理群組階層和指派的原則,而不是工作負載。

  3. (選擇性)請與應用程式或服務小組合作,將原始訂用帳戶中部署的工作負載移轉至新的 Azure 訂用帳戶。 如需詳細資訊,請參閱 將現有的 Azure 環境轉換為 Azure 登陸區域概念架構 。 您可以在正確的管理群組下,將工作負載放入新複製的管理群組階層中,例如 公司棕色地帶 線上棕色地帶

    如需移轉時對資源影響的資訊,請參閱 原則

    最後,您可以取消現有的 Azure 訂用帳戶,並將它放在已解除委任的管理群組中。

    注意

    您不一定必須將現有的應用程式或服務移轉至新的登陸區域或 Azure 訂用帳戶。

  4. 在應用程式小組與平臺小組合作,使其原則合規性進入必要狀態之後,其訂用帳戶會移至適當的管理群組,例如 公司 線上 ,如下圖所示。 指派的原則涵蓋這些原則,而您的小組可以有效率且符合規範地操作其工作負載。

    如需詳細資訊,請參閱 準備登陸區域以進行移轉指引

下圖顯示移轉期間此案例的狀態。

Diagram that shows a single subscription environment in the transition state.

摘要

您已使用這種方法,藉由將 Azure 登陸區域概念架構 與現有環境平行部署 ,以最少中斷的方式安全地移轉 Azure 中的工作負載。