Identiteitsbronnen migreren naar Azure wereldwijd

  • Artikel

Belangrijk

Sinds augustus 2018 accepteren we geen nieuwe klanten meer en implementeren we geen nieuwe functies en services meer op de oorspronkelijke Microsoft Cloud Duitsland-locaties.

Op basis van de ontwikkeling van de behoeften van klanten hebben we onlangs twee nieuwe datacenterregio's in Duitsland geïntroduceerd, die klantgegevensopslag, volledige connectiviteit met het wereldwijde cloudnetwerk van Microsoft en concurrerende prijzen op de markt bieden.

Daarnaast hebben we op 30 september 2020 aangekondigd dat de Microsoft Cloud Duitsland op 29 oktober 2021 wordt gesloten. Meer informatie is hier beschikbaar: https://www.microsoft.com/cloud-platform/germany-cloud-regions.

Profiteer van de uitgebreide functionaliteit, beveiliging op bedrijf niveau en uitgebreide functies die beschikbaar zijn in onze nieuwe Duitse datacenterregio's door vandaag nog te migreren.

Dit artikel biedt informatie die u kan helpen bij het migreren van Azure-identiteitsbronnen van Azure Duitsland naar wereldwijde Azure.

De richtlijnen voor identiteiten/tenants zijn bedoeld voor alleen Azure-klanten. Als u algemene Azure Active Directory-tenants (Azure AD) gebruikt voor Azure en Microsoft 365 (of andere Microsoft-producten), zijn er complexiteit in identiteitsmigratie en moet u eerst contact opnemen met uw Account Manager voordat u deze migratie-richtlijnen gebruikt.

Azure Active Directory

Azure AD in Azure Duitsland is gescheiden van Azure AD in azure wereldwijd. Op dit moment kunt u Azure AD-gebruikers niet verplaatsen van Azure Duitsland naar globale Azure.

Standaardten tenantnamen in Azure Duitsland en globale Azure zijn altijd verschillend omdat Azure automatisch een achtervoegsel op basis van de omgeving aan een achtervoegsel toevoegt. Een gebruikersnaam voor een lid van de contoso-tenant in globale Azure is bijvoorbeeld user1@contoso.microsoftazure.com. In Azure Duitsland is dat user1@contoso.microsoftazure.de.

Wanneer u aangepaste domeinnamen (zoals contoso.com) in Azure AD gebruikt, moet u de domeinnaam registreren in Azure. Aangepaste domeinnamen kunnen slechts in één cloudomgeving tegelijk worden gedefinieerd. De domeinvalidatie mislukt wanneer het domein al is geregistreerd in een exemplaar van Azure Active Directory. De gebruiker die in user1@contoso.com Azure Duitsland bestaat, kan bijvoorbeeld niet ook bestaan in globale Azure met dezelfde naam op hetzelfde moment. De registratie voor contoso.com mislukt.

Een 'zachte' migratie waarbij sommige gebruikers zich al in de nieuwe omgeving en sommige gebruikers zich nog in de oude omgeving zijn, vereist verschillende aanmeldingsnamen voor de verschillende cloudomgevingen.

In dit artikel worden niet alle mogelijke migratiescenario's beschreven. Een aanbeveling is bijvoorbeeld afhankelijk van hoe u gebruikers indeelt, welke opties u hebt voor het gebruik van verschillende gebruikersnamen of UserPrincipalNames en andere afhankelijkheden. Maar we hebben een aantal hints gecompileerd om u te helpen bij het inventariseren van gebruikers en groepen in uw huidige omgeving.

Voer het volgende uit om een lijst op te halen met alle cmdlets die betrekking hebben op Azure AD:

Get-Help Get-AzureAD*

Gebruikers inventariseren

Een overzicht krijgen van alle gebruikers en groepen die aanwezig zijn in uw Azure AD-exemplaar:

Get-AzureADUser -All $true

Voeg het volgende filter toe om alleen ingeschakelde accounts weer te geven:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}

Als u een volledige dump van alle kenmerken wilt maken, voor het geval u iets bent vergeten:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *

Als u de kenmerken wilt selecteren die u nodig hebt om de gebruikers opnieuw te maken:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname

Als u de lijst wilt exporteren Excel, gebruikt u de cmdlet Export-Csv aan het einde van deze lijst. Een volledige export kan er als in dit voorbeeld uitzien:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8

Notitie

U kunt geen wachtwoorden migreren. In plaats daarvan moet u nieuwe wachtwoorden toewijzen of een selfservicemechanisme gebruiken, afhankelijk van uw scenario.

Afhankelijk van uw omgeving moet u mogelijk ook andere informatie verzamelen, bijvoorbeeld waarden voor Extensions, DirectReport of LicenseDetail.

Maak het CSV-bestand zo nodig op. Volg vervolgens de stappen die worden beschreven in Gegevens importeren uit CSV om de gebruikers opnieuw te maken in uw nieuwe omgeving.

Inventarisgroepen

Groepslidmaatschap documenteren:

Get-AzureADGroup

De lijst met leden voor elke groep op te halen:

Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}

Service-principals en toepassingen inventariseren

Hoewel u alle service-principals en toepassingen opnieuw moet maken, is het een goed idee om de status van service-principals en toepassingen te documenteren. U kunt de volgende cmdlets gebruiken om een uitgebreide lijst met alle service-principals op te halen:

Get-AzureADServicePrincipal |Format-List *

Get-AzureADApplication |Format-List *

U kunt meer informatie krijgen door andere cmdlets te gebruiken die beginnen met Get-AzureADServicePrincipal* of Get-AzureADApplication*.

Directory-rollen inventariseren

De huidige roltoewijzing documenteren:

Get-AzureADDirectoryRole

Doorloop elke rol om gebruikers of toepassingen te vinden die aan de rol zijn gekoppeld:

Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}

Voor meer informatie:

Azure AD Connect

Azure AD Verbinding maken is een hulpprogramma waarmee uw identiteitsgegevens worden gesynchroniseerd tussen een on-premises Active Directory-exemplaar en Azure Active Directory (Azure AD). De huidige versie van Azure AD Verbinding maken werkt zowel voor Azure Duitsland als voor azure wereldwijd. Azure AD Verbinding maken kunnen slechts met één Azure AD-exemplaar tegelijk worden gesynchroniseerd. Als u tegelijkertijd wilt synchroniseren met Azure Duitsland en globale Azure, kunt u de volgende opties overwegen:

  • Gebruik een extra server voor een tweede exemplaar van Azure AD Verbinding maken. U kunt niet meerdere exemplaren van Azure AD-Verbinding maken op dezelfde server.
  • Definieer een nieuwe aanmeldingsnaam voor uw gebruikers. Het domeingedeelte (na @) van de aanmeldingsnaam moet in elke omgeving verschillen.
  • Definieer een duidelijke 'bron van waarheid' wanneer u ook naar achteren synchroniseert (van Azure AD naar on-premises Active Directory).

Als u Azure AD al gebruikt Verbinding maken om te synchroniseren naar en van Azure Duitsland, moet u handmatig gemaakte gebruikers migreren. De volgende PowerShell-cmdlet bevat een lijst met alle gebruikers die niet zijn gesynchroniseerd met behulp van Azure AD Verbinding maken:

Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}

Voor meer informatie:

Multi-Factor Authentication

U moet gebruikers opnieuw maken en uw Azure AD Multi-Factor Authentication-exemplaar opnieuw definiëren in uw nieuwe omgeving.

Een lijst met gebruikersaccounts op te halen waarvoor meervoudige verificatie is ingeschakeld of afgedwongen:

  1. Meld u aan bij Azure Portal.
  2. Selecteer GebruikersAlle>gebruikersMulti-Factor> Authentication.
  3. Wanneer u wordt omgeleid naar de servicepagina voor meervoudige verificatie, stelt u de juiste filters in om een lijst met gebruikers op te halen.

Voor meer informatie:

Volgende stappen

Meer informatie over hulpprogramma's, technieken en aanbevelingen voor het migreren van resources in de volgende servicecategorieën: