Azure 登陸區域治理指南:將 Azure 登陸區域原則遷移至 Azure 內建原則
一段時間后,Azure 登陸區域自定義原則和原則計劃可能會被 Azure 內建原則取代或取代。 如果是,則應該移除或移轉它們。 本文說明如何將 Azure 登陸區域自定義原則和原則計劃遷移至 Azure 內建原則。
本檔中的指引說明原則移轉的手動高階步驟。 它也提供如何處理透過 Azure 登陸區域 Terraform 模組 或 ALZ-Bicep 管理的實作的參考。
下列信息圖顯示更新程式流程。
Azure 登陸區域環境的手動更新步驟
本節說明將 Azure 登陸區域自定義原則和計劃遷移至 Azure 內建原則的一般高階步驟。
偵測 Azure 登陸區域原則的更新
您可以使用下列選項,偵測到內建 Azure 原則會取代一或多個 Azure 登陸區域原則:
- 定期檢閱 Azure Enterprise Scale What's new wiki ,並記下任何指示為已取代的原則。 請參閱 這裡已取代原則的範例。
- 使用 Azure 治理可視化檢視腳本,並記下任何標示為過時的原則。
Azure 登陸區域原則的移轉步驟
您可以使用下列步驟來移轉 Azure 登陸區域環境:
- 判斷移轉範圍內的 Azure 登陸區域原則目前是否在 Azure 資產的任何範圍內指派。 如果您使用 Azure 治理可視化檢視,您可以檢查 TenantSummary 來判斷原則範圍。
- 檢查要移轉的 Azure 登陸區域原則是否屬於應更新的登陸區域自定義原則計劃。
- 查看 Azure 登陸區域自定義原則計劃是否目前在 Azure 資產中的任何範圍指派。
根據您的調查結果,採取下列動作。
未指派和不屬於 Azure 登陸區域自定義原則方案的原則
如果移轉的原則未在 Azure 資產中指派,且不屬於現有 Azure 登陸區域自定義原則計劃的一部分,您可以:
- 從 Azure 登陸區域中繼根管理群組中刪除 Azure 登陸區域原則定義(例如 ,
Contoso
。
如果 Azure 登陸區域自定義原則方案完全由內建原則方案取代,且未在 Azure 資產中指派,您:
- 從 Azure 登陸區域中繼根管理群組中刪除 Azure 登陸區域自定義原則方案(例如 ,
Contoso
。
指派的原則,而不是 Azure 登陸區域自定義原則計劃的一部分
如果將要移轉的原則指派給 Azure 資產中的任何範圍,且不屬於現有 Azure 登陸區域自定義原則計劃的一部分,請執行下列步驟:
- 使用具有比對設定的 Azure 內建原則,根據先前 Azure 登陸區域自定義原則定義的指派,在相同的範圍內建立新的原則指派。
- 在指派的所有範圍刪除現有的 Azure 登陸區域原則指派。
- 從 Azure 登陸區域中繼根管理群組中刪除 Azure 登陸區域原則定義(例如
Contoso
)。
如需如何執行先前步驟的詳細指引,請參閱 移轉單一 Azure 登陸區域自定義原則。
透過 Azure 登陸區域自定義原則方案指派的原則
如果要移轉的原則是 Azure 登陸區域自定義原則計畫的一部分,並在 Azure 資產中的任何範圍透過它指派,請遵循下列步驟:
- 使用適當的原則參考來更新 Azure 登陸區域自定義原則方案定義。 您可以使用自定義原則的一般 contoso 範圍,在這裡找到更新的計劃。
- 當您更新原則參考時,請記得將原則定義標識符的 contoso 範圍變更為管理群組階層虛擬根名稱。 此外,請更新 Azure 登陸區域自定義原則計劃上的元數據資訊。
如需如何執行先前步驟的詳細指引,請參閱 如何在 Azure 登陸區域自定義計劃中更新子定義。
如果 Azure 登陸區域自定義原則方案完全由內建原則方案取代,並在 Azure 資產中的任何範圍指派,請遵循下列步驟:
- 在相同的範圍內建立新的原則計劃指派。 根據先前的 Azure 登陸區域自定義原則方案指派,使用 Azure 內建原則方案搭配比對設定。
- 在指派的所有範圍刪除現有的 Azure 登陸區域原則方案指派。
- 從 Azure 登陸區域中繼根管理群組中刪除 Azure 登陸區域自定義原則方案(例如 ,
Contoso
。
Azure 登陸區域 Terraform 模組部署的更新步驟
如果您使用 Azure 登陸區域 Terraform 模組 來管理 Azure 登陸區域部署,本節會參考如何將 Azure 登陸區域自定義原則和計劃遷移至 Azure 內建原則的資源。
偵測 Terraform 模組變更的更新
使用偵測 Azure 登陸區域原則更新中所述的方法,判斷 Terraform 模組中的原則是否已變更。 您也會在 Azure 登陸區域 Terraform 發行頁面中看到原則的變更。 請參閱這裡的範例。
Azure 登陸區域 Terraform 模組的移轉步驟
Azure 登陸區域 Terraform 模組會在部署重大變更時提供更新指引。 請遵循頁面底部特定版本可用的升級指引。
ALZ-Bicep 部署的更新步驟
如果您使用 ALZ-Bicep 來管理 Azure 登陸區域部署,本節會參考如何將 Azure 登陸區域自定義原則和計劃遷移至 Azure 內建原則的資源。
偵測 ALZ-Bicep 原則變更的更新
使用偵測 Azure 登陸區域原則更新中所述的方法,判斷 ALZ-Bicep 中的原則是否已變更。 您也會在 ALZ-Bicep 版本中看到原則的變更。
ALZ-Bicep 原則的移轉步驟
ALZ-Bicep 提供將原則從 Azure 登陸區域自定義原則移轉至 Azure 內建原則的一般指引。 如需詳細資訊,請參閱 如何將 Azure 登陸區域自定義原則遷移至 Azure 內建原則。
下一步
無論您使用 Azure 入口網站、Bicep 或 Terraform 來管理 Azure 登陸區域基礎結構,原則都會隨著時間而變更。 您必須管理它們。 使用本文中所述的流程作為起點,針對您的特定 Azure 登陸區域實作開發原則管理相關流程。