نقل اشتراك Azure إلى دليل Microsoft Entra مختلف

قد يكون لدى المؤسسات العديد من اشتراكات Azure. يرتبط كل اشتراك بدليل Microsoft Entra معين. لتسهيل الإدارة، قد ترغب في نقل اشتراك إلى دليل Microsoft Entra مختلف. عند نقل اشتراك إلى دليل Microsoft Entra مختلف، لا يتم نقل بعض الموارد إلى الدليل الهدف. على سبيل المثال، يتم حذف كافة تعيينات الأدوار والأدوار المخصصة في التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) نهائيا من الدليل المصدر ولا يتم نقلها إلى الدليل الهدف.

توضح هذه المقالة الخطوات الأساسية التي يمكنك اتباعها لنقل اشتراك إلى دليل Microsoft Entra مختلف وإعادة إنشاء بعض الموارد بعد النقل.

إذا كنت تريد بدلا من ذلك حظر نقل الاشتراكات إلى دلائل مختلفة في مؤسستك، يمكنك تكوين نهج اشتراك. لمزيد من المعلومات، راجع إدارة نهج اشتراك Azure.

إشعار

بالنسبة لاشتراكات Azure Cloud Solution Providers (CSP)، لا يتم دعم تغيير دليل Microsoft Entra للاشتراك.

نظرة عامة

نقل اشتراك Azure إلى دليل Microsoft Entra مختلف عملية معقدة يجب تخطيطها وتنفيذها بعناية. تتطلب العديد من خدمات Azure أساسيات الأمان (الهويات) للعمل بشكل طبيعي أو حتى إدارة موارد Azure الأخرى. تحاول هذه المقالة تغطية معظم خدمات Azure التي تعتمد بشكل كبير على أساسيات الأمان، ولكنها ليست شاملة.

هام

في بعض السيناريوهات، قد يتطلب نقل الاشتراك وقت تعطل لإكمال العملية. مطلوب تخطيط دقيق لتقييم ما إذا كان وقت التعطل مطلوبا لنقلك أم لا.

يوضح الرسم التخطيطي التالي الخطوات الأساسية التي يجب اتباعها عند نقل اشتراك إلى دليل مختلف.

1. الاستعداد للنقل

2. نقل اشتراك Azure إلى دليل مختلف

3. إعادة إنشاء الموارد في الدليل الهدف مثل تعيينات الأدوار والأدوار المخصصة والهويات المدارة

   

تحديد ما إذا كان يجب نقل اشتراك إلى دليل مختلف

فيما يلي بعض الأسباب التي قد تدفعك إلى نقل اشتراك:

• بسبب دمج شركة أو استحواذها، تريد إدارة اشتراك مكتسب في دليل Microsoft Entra الأساسي.
• قام شخص ما في مؤسستك بإنشاء اشتراك وتريد دمج الإدارة في دليل Microsoft Entra معين.
• لديك تطبيقات تعتمد على معرف اشتراك معين أو URL وليس من السهل تعديل تكوين التطبيق أو التعليمات البرمجية.
• تم تقسيم جزء من عملك إلى شركة منفصلة وتحتاج إلى نقل بعض مواردك إلى دليل Microsoft Entra مختلف.
• تريد إدارة بعض مواردك في دليل Microsoft Entra مختلف لأغراض عزل الأمان.

نهج بديلة

يتطلب نقل اشتراك وقت تعطل لإكمال العملية. اعتمادا على السيناريو الخاص بك، يمكنك مراعاة الأساليب البديلة التالية:

• أعد إنشاء الموارد وانسخ البيانات إلى الدليل الهدف والاشتراك.
• اعتماد بنية متعددة الدلائل وترك الاشتراك في الدليل المصدر. استخدم Azure Lighthouse لتفويض الموارد بحيث يمكن للمستخدمين في الدليل الهدف الوصول إلى الاشتراك في الدليل المصدر. لمزيد من المعلومات، راجع Azure Lighthouse في سيناريوهات المؤسسة.

فهم تأثير نقل الاشتراك

العديد من موارد Azure لها تبعية على اشتراك أو دليل. استنادا إلى حالتك، يسرد الجدول التالي التأثير المعروف لنقل اشتراك. من خلال تنفيذ الخطوات الواردة في هذه المقالة، يمكنك إعادة إنشاء بعض الموارد التي كانت موجودة قبل نقل الاشتراك.

هام

يسرد هذا القسم خدمات أو موارد Azure المعروفة التي تعتمد على اشتراكك. نظرا لأن أنواع الموارد في Azure تتطور باستمرار، فقد تكون هناك تبعيات إضافية غير مدرجة هنا يمكن أن تسبب تغييرا فاصلا في بيئتك.

الخدمة أو المورد	اثر	الاسترداد	هل تتأثر بذلك؟	ما الذي يمكنك فعله؟
تعيينات الأدوار	‏‏نعم‬	‏‏نعم‬	سرد تعيينات الدور	يتم حذف كافة تعيينات الأدوار نهائيا. يجب تعيين المستخدمين والمجموعات وأساسيات الخدمة إلى الكائنات المقابلة في الدليل الهدف. يجب إعادة إنشاء تعيينات الدور.
أدوار مخصصة	‏‏نعم‬	‏‏نعم‬	سرد الأدوار المخصصة	يتم حذف جميع الأدوار المخصصة نهائيا. يجب إعادة إنشاء الأدوار المخصصة وأي تعيينات أدوار.
الهويات المدارة المعينة من قبل النظام	‏‏نعم‬	‏‏نعم‬	سرد الهويات المدارة	يجب تعطيل الهويات المدارة وإعادة تمكينها. يجب إعادة إنشاء تعيينات الدور.
الهويات التي يديرها المستخدم	‏‏نعم‬	‏‏نعم‬	سرد الهويات المدارة	يجب حذف الهويات المدارة وإعادة إنشائها وإرفاقها بالمورد المناسب. يجب إعادة إنشاء تعيينات الدور.
Azure Key Vault	‏‏نعم‬	‏‏نعم‬	سرد نهج الوصول إلى Key Vault	يجب تحديث معرف المستأجر المقترن بخزائن المفاتيح. يجب إزالة وإضافة نهج وصول جديدة.
قواعد بيانات Azure SQL مع تمكين تكامل مصادقة Microsoft Entra	‏‏نعم‬	لا	تحقق من قواعد بيانات Azure SQL باستخدام مصادقة Microsoft Entra	لا يمكنك نقل قاعدة بيانات Azure SQL مع تمكين مصادقة Microsoft Entra إلى دليل مختلف. لمزيد من المعلومات، راجع استخدام مصادقة Microsoft Entra.
قاعدة بيانات Azure ل MySQL مع تمكين تكامل مصادقة Microsoft Entra	‏‏نعم‬	لا		لا يمكنك نقل قاعدة بيانات Azure ل MySQL (خادم واحد ومرن) مع تمكين مصادقة Microsoft Entra إلى دليل مختلف.
Azure Storage وAzure Data Lake Storage Gen2	‏‏نعم‬	‏‏نعم‬		يجب إعادة إنشاء أي قوائم ACL.
ملفات Azure	‏‏نعم‬	‏‏نعم‬		يجب إعادة إنشاء أي قوائم ACL.
"Azure File Sync"	‏‏نعم‬	‏‏نعم‬		يمكن نقل خدمة مزامنة التخزين و/أو حساب التخزين إلى دليل مختلف. لمزيد من المعلومات، راجع الأسئلة المتداولة (FAQ) حول ملفات Azure
أقراص مدارة من Azure	‏‏نعم‬	‏‏نعم‬		إذا كنت تستخدم مجموعات تشفير القرص لتشفير الأقراص المدارة باستخدام مفاتيح يديرها العميل، فيجب عليك تعطيل وإعادة تمكين الهويات المعينة من قبل النظام المقترنة بمجموعات تشفير القرص. ويجب إعادة إنشاء تعيينات الدور، أي منح الأذونات المطلوبة مرة أخرى لمجموعات تشفير القرص في Key Vaults.
Azure Kubernetes Service	‏‏نعم‬	لا		لا يمكنك نقل نظام مجموعة AKS والموارد المقترنة به إلى دليل مختلف. لمزيد من المعلومات، راجع الأسئلة المتداولة حول خدمة Azure Kubernetes (AKS)
نهج Azure	‏‏نعم‬	لا	جميع كائنات نهج Azure، بما في ذلك التعريفات المخصصة والتعيينات والإعفاءات وبيانات التوافق.	يجب تصدير التعريفات واستيرادها وإعادة تعيينها. ثم قم بإنشاء تعيينات نهج جديدة وأي استثناءات نهج مطلوبة.
خدمات مجال Microsoft Entra	‏‏نعم‬	لا		لا يمكنك نقل مجال مدار من Microsoft Entra Domain Services إلى دليل مختلف. لمزيد من المعلومات، راجع الأسئلة المتداولة (FAQs) حول Microsoft Entra Domain Services
عمليات تسجيل التطبيق	‏‏نعم‬	‏‏نعم‬
Microsoft Dev Box	‏‏نعم‬	لا		لا يمكنك نقل مربع تطوير والموارد المقترنة به إلى دليل مختلف. بمجرد انتقال الاشتراك إلى مستأجر آخر، لن تتمكن من تنفيذ أي إجراءات على مربع التطوير الخاص بك
بيئات توزيع Azure	‏‏نعم‬	لا		لا يمكنك نقل بيئة والموارد المقترنة بها إلى دليل مختلف. بمجرد انتقال الاشتراك إلى مستأجر آخر، لن تتمكن من تنفيذ أي إجراءات على بيئتك
Azure Service Fabric	‏‏نعم‬	لا		يجب إعادة إنشاء نظام المجموعة. لمزيد من المعلومات، راجع الأسئلة المتداولة حول مجموعات SF أو الأسئلة المتداولة حول مجموعات SF المدارة
ناقل خدمة Azure	‏‏نعم‬	‏‏نعم‬		يجب حذف الهويات المدارة وإعادة إنشائها وإرفاقها بالمورد المناسب. يجب إعادة إنشاء تعيينات الدور.
مساحة عمل Azure Synapse Analytics	‏‏نعم‬	‏‏نعم‬		يجب تحديث معرف المستأجر المقترن بمساحة عمل Synapse Analytics. إذا كانت مساحة العمل مقترنة بمستودع Git، يجب تحديث تكوين Git لمساحة العمل. لمزيد من المعلومات، راجع استرداد مساحة عمل Synapse Analytics بعد نقل اشتراك إلى دليل Microsoft Entra مختلف (مستأجر).
Azure Databricks	‏‏نعم‬	لا		حاليا، لا يدعم Azure Databricks نقل مساحات العمل إلى مستأجر جديد. لمزيد من المعلومات، راجع إدارة حساب Azure Databricks الخاص بك.

تحذير

إذا كنت تستخدم التشفير الثابت لمورد، مثل حساب تخزين أو قاعدة بيانات SQL، التي لها تبعية على مخزن مفاتيح يتم نقله، فقد يؤدي ذلك إلى سيناريو غير قابل للاسترداد. إذا كان لديك هذا الموقف، يجب عليك اتخاذ خطوات لاستخدام مخزن مفاتيح مختلف أو تعطيل المفاتيح المدارة من قبل العميل مؤقتا لتجنب هذا السيناريو غير القابل للاسترداد.

للحصول على قائمة ببعض موارد Azure التي تتأثر عند نقل اشتراك، يمكنك أيضا تشغيل استعلام في Azure Resource Graph. للحصول على نموذج استعلام، راجع قائمة الموارد المتأثرة عند نقل اشتراك Azure.

المتطلبات الأساسية

لإكمال هذه الخطوات، ستحتاج إلى:

• Bash في Azure Cloud Shell أو Azure CLI
• مالك حساب الفوترة للاشتراك الذي تريد نقله في الدليل المصدر
• حساب مستخدم في كل من الدليل المصدر والهدف للمستخدم الذي يقوم بتغيير الدليل

الخطوة 1: الاستعداد للنقل

تسجيل الدخول إلى الدليل المصدر

1. سجل الدخول إلى Azure كمسؤول.

2. احصل على قائمة باشتراكاتك باستخدام الأمر az account list .

   az account list --output table
   

3. استخدم az account set لتعيين الاشتراك النشط الذي تريد نقله.

   az account set --subscription "Marketing"
   

تثبيت ملحق Azure Resource Graph

يتيح لك ملحق Azure CLI ل Azure Resource Graph، resource-graph، استخدام الأمر az graph للاستعلام عن الموارد التي يديرها Azure Resource Manager. ستستخدم هذا الأمر في خطوات لاحقة.

1. استخدم قائمة ملحقات az لمعرفة ما إذا كان لديك ملحق الرسم البياني للمورد مثبتا.

   az extension list
   

2. إذا كنت تستخدم إصدار معاينة أو إصدار أقدم من ملحق الرسم البياني للمورد، فاستخدم تحديث ملحق az لتحديث الملحق.

   az extension update --name resource-graph
   

3. إذا لم يتم تثبيت ملحق الرسم البياني للمورد، فاستخدم ملحق az add لتثبيت الملحق.

   az extension add --name resource-graph
   

حفظ كافة تعيينات الأدوار

1. استخدم az role assignment list لسرد كافة تعيينات الأدوار (بما في ذلك تعيينات الأدوار الموروثة).

   لتسهيل مراجعة القائمة، يمكنك تصدير الإخراج ك JSON أو TSV أو جدول. لمزيد من المعلومات، راجع سرد تعيينات الأدوار باستخدام Azure RBAC وAzure CLI.

   az role assignment list --all --include-inherited --output json > roleassignments.json
   az role assignment list --all --include-inherited --output tsv > roleassignments.tsv
   az role assignment list --all --include-inherited --output table > roleassignments.txt
   

2. احفظ قائمة تعيينات الأدوار.

   عند نقل اشتراك، يتم حذف جميع تعيينات الأدوار نهائيا لذلك من المهم حفظ نسخة.

3. راجع قائمة تعيينات الأدوار. قد تكون هناك تعيينات أدوار لن تحتاجها في الدليل الهدف.

حفظ الأدوار المخصصة

1. استخدم قائمة تعريف دور az لسرد أدوارك المخصصة. لمزيد من المعلومات، راجع إنشاء أو تحديث أدوار Azure المخصصة باستخدام Azure CLI.

   az role definition list --custom-role-only true --output json --query '[].{roleName:roleName, roleType:roleType}'
   

2. احفظ كل دور مخصص ستحتاج إليه في الدليل الهدف كملف JSON منفصل.

   az role definition list --name <custom_role_name> > customrolename.json
   

3. قم بعمل نسخ من ملفات الدور المخصصة.

4. تعديل كل نسخة لاستخدام التنسيق التالي.

   ستستخدم هذه الملفات لاحقا لإعادة إنشاء الأدوار المخصصة في الدليل الهدف.

   {
     "Name": "",
     "Description": "",
     "Actions": [],
     "NotActions": [],
     "DataActions": [],
     "NotDataActions": [],
     "AssignableScopes": []
   }
   

تحديد تعيينات المستخدم والمجموعة والخدمة الأساسية

1. استنادا إلى قائمة تعيينات الأدوار، حدد المستخدمين والمجموعات وكيانات الخدمة التي ستقوم بتعيينها في الدليل الهدف.

   يمكنك تحديد نوع الأساسي من خلال النظر إلى الخاصية principalType في كل تعيين دور.

2. إذا لزم الأمر، في الدليل الهدف، قم بإنشاء أي مستخدمين أو مجموعات أو كيانات خدمة ستحتاج إليها.

سرد تعيينات الأدوار للهويات المدارة

لا يتم تحديث الهويات المدارة عند نقل اشتراك إلى دليل آخر. ونتيجة لذلك، سيتم قطع أي هويات مدارة معينة من قبل النظام أو معينة من قبل المستخدم. بعد النقل، يمكنك إعادة تمكين أي هويات مدارة يعينها النظام. بالنسبة للهويات المدارة المعينة من قبل المستخدم، سيتعين عليك إعادة إنشائها وإرفاقها في الدليل الهدف.

1. راجع قائمة خدمات Azure التي تدعم الهويات المدارة لملاحظة المكان الذي قد تستخدم فيه الهويات المدارة.

2. استخدم قائمة az ad sp لسرد الهويات المدارة المعينة من قبل النظام والمخصصة من قبل المستخدم.

   az ad sp list --all --filter "servicePrincipalType eq 'ManagedIdentity'"
   

3. في قائمة الهويات المدارة، حدد التي تم تعيينها من قبل النظام والتي تم تعيينها من قبل المستخدم. يمكنك استخدام المعايير التالية لتحديد النوع.

   المعايير	نوع الهوية المدارة
   alternativeNames تتضمن الخاصية isExplicit=False	المعين من نظام
   alternativeNames لا تتضمن الخاصية isExplicit	المعين من نظام
   alternativeNames تتضمن الخاصية isExplicit=True	المستخدم المعين

   يمكنك أيضا استخدام قائمة هوية az لسرد الهويات المدارة المعينة من قبل المستخدم فقط. لمزيد من المعلومات، راجع إنشاء هوية مدارة معينة من قبل المستخدم أو سردها أو حذفها باستخدام Azure CLI.

   az identity list
   

4. احصل على قائمة بالقيم للهويات objectId المدارة.

5. ابحث في قائمة تعيينات الأدوار لمعرفة ما إذا كانت هناك أي تعيينات أدوار للهويات المدارة.

سرد خزائن المفاتيح

عند إنشاء مخزن مفاتيح، يتم ربطه تلقائيا بمعرف مستأجر Microsoft Entra الافتراضي للاشتراك الذي يتم إنشاؤه فيه. ترتبط جميع إدخالات نهج الوصول أيضا بمعرف المستأجر هذا. لمزيد من المعلومات، راجع نقل Azure Key Vault إلى اشتراك آخر.

تحذير

إذا كنت تستخدم التشفير الثابت لمورد، مثل حساب تخزين أو قاعدة بيانات SQL، التي لها تبعية على مخزن مفاتيح يتم نقله، فقد يؤدي ذلك إلى سيناريو غير قابل للاسترداد. إذا كان لديك هذا الموقف، يجب عليك اتخاذ خطوات لاستخدام مخزن مفاتيح مختلف أو تعطيل المفاتيح المدارة من قبل العميل مؤقتا لتجنب هذا السيناريو غير القابل للاسترداد.

• إذا كان لديك مخزن مفاتيح، فاستخدم az keyvault show لسرد نهج الوصول. لمزيد من المعلومات، راجع تعيين نهج وصول Key Vault.

  az keyvault show --name MyKeyVault
  

سرد قواعد بيانات Azure SQL مع مصادقة Microsoft Entra

• استخدم az sql server ad-admin list وملحق az graph لمعرفة ما إذا كنت تستخدم قواعد بيانات Azure SQL مع تمكين تكامل مصادقة Microsoft Entra. لمزيد من المعلومات، راجع تكوين مصادقة Microsoft Entra وإدارتها باستخدام SQL.

  az sql server ad-admin list --ids $(az graph query -q "resources | where type == 'microsoft.sql/servers' | project id" --query data[*].[id] -o tsv)
  

قائمة قوائم التحكم بالوصول

1. إذا كنت تستخدم Azure Data Lake Storage Gen2، فسرد قوائم التحكم في الوصول التي يتم تطبيقها على أي ملف باستخدام مدخل Microsoft Azure أو PowerShell.

2. إذا كنت تستخدم Azure Files، فسرد قوائم التحكم في الوصول التي يتم تطبيقها على أي ملف.

سرد الموارد المعروفة الأخرى

1. استخدم az account show للحصول على معرف اشتراكك (في bash).

   subscriptionId=$(az account show --output tsv --query id)
   

2. استخدم ملحق الرسم البياني az لسرد موارد Azure الأخرى مع تبعيات دليل Microsoft Entra المعروفة (في bash).

   az graph query -q 'resources 
       | where type != "microsoft.azureactivedirectory/b2cdirectories" 
       | where  identity <> "" or properties.tenantId <> "" or properties.encryptionSettingsCollection.enabled == true 
       | project name, type, kind, identity, tenantId, properties.tenantId' --subscriptions $subscriptionId --output yaml
   

الخطوة 2: نقل الاشتراك

في هذه الخطوة، يمكنك نقل الاشتراك من الدليل المصدر إلى الدليل الهدف. ستكون الخطوات مختلفة بناء على ما إذا كنت تريد أيضا نقل ملكية الفوترة.

تحذير

عند نقل الاشتراك، يتم حذف كافة تعيينات الأدوار في الدليل المصدر نهائيا ولا يمكن استعادتها. لا يمكنك العودة بمجرد نقل الاشتراك. تأكد من إكمال الخطوات السابقة قبل تنفيذ هذه الخطوة.

1. حدد ما إذا كنت تريد أيضا نقل ملكية الفوترة إلى حساب آخر.

2. نقل الاشتراك إلى دليل مختلف.

   • إذا كنت ترغب في الاحتفاظ بملكية الفوترة الحالية، فاتبع الخطوات الواردة في إقران أو إضافة اشتراك Azure إلى مستأجر Microsoft Entra.
   • إذا كنت تريد أيضا نقل ملكية الفوترة، فاتبع الخطوات الواردة في نقل ملكية الفوترة لاشتراك Azure إلى حساب آخر. لنقل الاشتراك إلى دليل مختلف، يجب عليك تحديد خانة الاختيار Subscription Microsoft Entra tenant .

3. بمجرد الانتهاء من نقل الاشتراك، ارجع إلى هذه المقالة لإعادة إنشاء الموارد في الدليل الهدف.

الخطوة 3: إعادة إنشاء الموارد

تسجيل الدخول إلى الدليل الهدف

1. في الدليل الهدف، سجل الدخول كمستخدم قبل طلب النقل.

   فقط المستخدم في الحساب الجديد الذي قبل طلب النقل سيكون لديه حق الوصول لإدارة الموارد.

2. احصل على قائمة باشتراكاتك باستخدام الأمر az account list .

   az account list --output table
   

3. استخدم az account set لتعيين الاشتراك النشط الذي تريد استخدامه.

   az account set --subscription "Contoso"
   

إنشاء أدوار مُخصصة

• استخدم az role definition create لإنشاء كل دور مخصص من الملفات التي قمت بإنشائها سابقا. لمزيد من المعلومات، راجع إنشاء أو تحديث أدوار Azure المخصصة باستخدام Azure CLI.

  az role definition create --role-definition <role_definition>
  

تعيين الأدوار

• استخدم az role assignment create لتعيين أدوار للمستخدمين والمجموعات وكيانات الخدمة. لمزيد من المعلومات، راجع تعيين أدوار Azure باستخدام Azure CLI.

  az role assignment create --role <role_name_or_id> --assignee <assignee> --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
  

تحديث الهويات المدارة المعينة من قبل النظام

1. تعطيل وإعادة تمكين الهويات المدارة المعينة من قبل النظام.

   خدمة Azure	مزيد من المعلومات
   الأجهزة الظاهرية	تكوين الهويات المدارة لموارد Azure على جهاز Azure الظاهري باستخدام Azure CLI
   مجموعات توسيع الجهاز الافتراضي	تكوين الهويات المدارة لموارد Azure على مجموعة مقياس جهاز ظاهري باستخدام Azure CLI
   الخدمات الأخرى	الخدمات التي تدعم الهويات المُدارة من أجل موارد Azure

2. استخدم az role assignment create لتعيين أدوار للهويات المدارة المعينة من قبل النظام. لمزيد من المعلومات، راجع تعيين وصول هوية مدارة إلى مورد باستخدام Azure CLI.

   az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
   

تحديث الهويات المدارة المعينة من قبل المستخدم

1. حذف الهويات المدارة المعينة من قبل المستخدم وإعادة إنشائها وإرفاقها.

   خدمة Azure	مزيد من المعلومات
   الأجهزة الظاهرية	تكوين الهويات المدارة لموارد Azure على جهاز Azure الظاهري باستخدام Azure CLI
   مجموعات توسيع الجهاز الافتراضي	تكوين الهويات المدارة لموارد Azure على مجموعة مقياس جهاز ظاهري باستخدام Azure CLI
   الخدمات الأخرى	الخدمات التي تدعم الهويات المُدارة من أجل موارد Azure إنشاء هوية مدارة معينة من قبل المستخدم أو سردها أو حذفها باستخدام Azure CLI

2. استخدم az role assignment create لتعيين أدوار للهويات المدارة المعينة من قبل المستخدم. لمزيد من المعلومات، راجع تعيين وصول هوية مدارة إلى مورد باستخدام Azure CLI.

   az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope "/subscriptions/<subscriptionId>/resourceGroups/<resource_group>"
   

تحديث خزائن المفاتيح

يصف هذا القسم الخطوات الأساسية لتحديث خزائن المفاتيح الخاصة بك. لمزيد من المعلومات، راجع نقل Azure Key Vault إلى اشتراك آخر.

1. تحديث معرف المستأجر المقترن بجميع خزائن المفاتيح الموجودة في الاشتراك في الدليل الهدف.

2. قم بإزالة كافة إدخالات نهج الوصول الحالية.

3. إضافة إدخالات نهج وصول جديدة مقترنة بالدليل الهدف.

تحديث قوائم التحكم في الوصول

1. إذا كنت تستخدم Azure Data Lake Storage Gen2، فعين قوائم التحكم بالوصول المناسبة. لمزيد من المعلومات، راجع التحكم في الوصول في Azure Data Lake Storage Gen2.

2. إذا كنت تستخدم ملفات Azure، فعين قوائم التحكم بالوصول المناسبة.

مراجعة أساليب الأمان الأخرى

على الرغم من إزالة تعيينات الأدوار أثناء النقل، قد يستمر المستخدمون في حساب المالك الأصلي في الوصول إلى الاشتراك من خلال أساليب أمان أخرى، بما في ذلك:

• مفاتيح الوصول لخدمات مثل Storage.
• شهادات الإدارة التي تمنح مسؤول المستخدم حق الوصول إلى موارد الاشتراك.
• بيانات اعتماد الوصول عن بعد لخدمات مثل الأجهزة الافتراضية Azure.

إذا كان هدفك هو إزالة الوصول من المستخدمين في الدليل المصدر بحيث لا يكون لديهم حق الوصول في الدليل الهدف، يجب أن تفكر في تدوير أي بيانات اعتماد. حتى يتم تحديث بيانات الاعتماد، سيستمر المستخدمون في الوصول بعد النقل.

1. تدوير مفاتيح الوصول إلى حساب التخزين. لمزيد من المعلومات، راجع إدارة مفاتيح الوصول إلى حساب التخزين.

2. إذا كنت تستخدم مفاتيح الوصول لخدمات أخرى مثل Azure SQL Database أو ناقل خدمة Azure Messaging، قم بتدوير مفاتيح الوصول.

3. بالنسبة للموارد التي تستخدم البيانات السرية، افتح إعدادات المورد وقم بتحديث البيانات السرية.

4. بالنسبة للموارد التي تستخدم الشهادات، قم بتحديث الشهادة.

الخطوات التالية

• نقل ملكية الفوترة لاشتراك Azure إلى حساب آخر
• نقل اشتراكات Azure بين المشتركين وPS
• إقران اشتراك Azure أو إضافته إلى مستأجر Microsoft Entra
• Azure Lighthouse في سيناريوهات المؤسسة