Informações Azure Active Directory informações adicionais para a migração do Microsoft Cloud DeutschlandAdditional Azure Active Directory information for the migration from Microsoft Cloud Deutschland

Para concluir a movimentação da nuvem alemã do Azure para a nuvem pública do Azure, recomendamos que o ponto de extremidade de autenticação, Azure Active Directory (Azure AD) Graph e pontos de extremidade do MS Graph para seus aplicativos sejam atualizados para os pontos de extremidade da nuvem comercial quando o ponto de extremidade openID Conexão (OIDC) começar a relatar pontos de extremidade de nuvem https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration comercial.To complete the move from the Azure German cloud to the Azure public cloud we recommend that the authentication endpoint, Azure Active Directory (Azure AD) Graph, and MS Graph endpoints for your applications be updated to those of the commercial cloud when the OpenID Connect (OIDC) endpoint, https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration, starts reporting commercial cloud endpoints.

Quando devo fazer essa alteração?When should I make this change?

Você receberá uma notificação no portal do Azure/Office quando o locatário concluir a migração da nuvem alemã para a nuvem comercial.You'll receive a notification in Azure/Office portal when your tenant completes migration from German cloud to the commercial cloud. Você tem 30 dias após receber essa notificação para concluir essas atualizações para que seu aplicativo continue a funcionar para locatários migrados da nuvem do Azure Germany para a nuvem pública do Azure.You have 30 days after receiving this notification to complete these updates so that your app continues to work for tenants that are migrated from Azure Germany cloud to Azure Public cloud.

Há três pré-condições para atualizar sua autoridade de entrada:There are three preconditions to updating your sign-in authority:

  • O ponto de extremidade de descoberta do OIDC para seu locatário retorna pontos de extremidade de nuvem pública do https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration Azure AD.OIDC discovery endpoint for your tenant https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration returns Azure AD public cloud endpoints.

  • Se o locatário estiver definido para federação, os Serviços de Federação do Active Directory (AD FS) serão atualizados para sincronizar com o Azure AD Public.If your tenant is set up for federation, Active Directory Federation Services (AD FS) is updated to sync with Azure AD Public. Você pode seguir instruções para atualizar as configurações Conexão do Azure AD para fazer essa alteração.You can follow instructions to update Azure AD Connect settings for making this change.

  • Os aplicativos de recurso, se algum, usados por seus aplicativos são modificados para aceitar tokens assinados pelo Azure AD Germany e pelo Azure AD Public.Resource applications, if any, used by your applications are modified to accept tokens that are signed by both Azure AD Germany and Azure AD Public.

Que tipo de aplicativos?What kind of applications?

Um aplicativo pode ser qualquer um dos seguintes:An application could be any of the following:

Observação

Quando um aplicativo alterna para login.microsoftonline.com usar como sua autoridade, os tokens serão assinados por essa nova autoridade.When an application switches to using login.microsoftonline.com as your authority, the tokens will be signed by this new authority. Se você hospedar todos os aplicativos de recurso que outros aplicativos chamarem, você precisará permitir a validação de token de frouxa.If you host any resource applications that other apps call into, you will need to allow for lax token validation. Isso significa que seu aplicativo precisa permitir tokens assinados pelas nuvens públicas do Azure AD Germany e do Azure AD.This means that your app needs to allow tokens that are signed by both the Azure AD Germany and Azure AD public clouds. Essa validação de token de frouxa é necessária até que todos os aplicativos cliente que chamam seu serviço sejam totalmente migrados para a nuvem pública do Azure AD.This lax token validation is needed until all client applications that call your service are fully migrated to the Azure AD public cloud. Após a migração, seu aplicativo de recurso só precisa aceitar tokens assinados pela nuvem pública do Azure AD.After migration, your resource application only needs to accept tokens signed by the Azure AD public cloud.

O que preciso atualizar?What do I need to update?

  1. Se você estiver hospedando um aplicativo no Azure Alemanha usado para autenticar usuários do Azure Germany ou Office 365 Alemanha, certifique-se de que seja usado como autoridade no contexto de https://login.microsoftonline.com autenticação.If you're hosting an application in Azure Germany that is used to authenticate Azure Germany or Office 365 Germany users, ensure that https://login.microsoftonline.com is used as the authority in the authentication context.

    • Consulte contextos de autenticação do Azure AD.See Azure AD authentication contexts.
    • Isso se aplica à autenticação ao seu aplicativo, bem como à autenticação a todas as APIs que seu aplicativo possa estar chamando (ou seja, Microsoft Graph, Azure AD Graph, Gerenciador de Recursos do Azure).This applies both to authentication to your application as well as authentication to any APIs that your application may be calling (that is, Microsoft Graph, Azure AD Graph, Azure Resource Manager).
  2. Atualizar o ponto de extremidade do Azure AD Graph ser https://graph.windows.net .Update Azure AD Graph endpoint to be https://graph.windows.net.

  3. Atualize o ponto Graph MS para https://graph.microsoft.com ser .Update MS Graph endpoint to be https://graph.microsoft.com.

  4. Atualize todos os pontos de extremidade de nuvem alemães (como os do Exchange Online e SharePoint Online) que são usados por seus aplicativos para serem os da nuvem pública.Update any German cloud endpoints (such as those for Exchange Online and SharePoint Online) that are used by your applications to be those of the public cloud.

  5. Atualizar parâmetros de ambiente AzurePublic a serem (em vez AzureGermany de ) em ferramentas administrativas e scripts para:Update environment parameters to be AzurePublic (instead of AzureGermany) in administrative tools and scripts for:

E os aplicativos que publico?What about applications that I publish?

Se você publicar um aplicativo que esteja disponível para usuários que estão fora do seu locatário, talvez seja necessário alterar o registro do aplicativo para garantir a continuidade.If you publish an application that is available to users who are outside of your tenant, you may need to change your application registration to ensure continuity. Outros locatários que usam seu aplicativo podem ser movidos em um momento diferente do seu locatário.Other tenants that use your application may be moved at a different time than your tenant. Para garantir que eles nunca percam o acesso ao seu aplicativo, você precisará consentir que seu aplicativo seja sincronizado do Azure Germany para o público do Azure.To ensure that they never lose access to your application, you'll need to consent to your app being synchronized from Azure Germany to Azure public.

Considerações adicionaisAdditional considerations

Aqui estão algumas considerações adicionais para o Azure AD:Here are some additional considerations for Azure AD:

  • Para autenticação federada:For federated authentication:

    • Você não deve criar, promover ou rebaixar um domínio federado enquanto a transição de locatário estiver em processo.You must not create, promote, or demote a federated domain while the tenant transition is in process. Após a migração para o serviço do Azure AD ser concluída (o locatário está totalmente concluído), você pode continuar a gerenciar domínios federados.After the migration to the Azure AD service is complete (the tenant is fully complete), you can resume managing federated domains.

    • Se você estiver usando a autenticação federada com os Serviços de Federação do Active Directory (AD FS), não deverá fazer alterações nas URIs do Emissor usadas para toda a autenticação com os Serviços de Domínio do Active Directory (AD DS) locais durante a migração.If you're using federated authentication with Active Directory Federation Services (AD FS), you shouldn't make changes to Issuer URIs used for all authentication with your on-premises Active Directory Domain Services (AD DS) during migration. Alterar URIs do emissor levará a falhas de autenticação para usuários no domínio.Changing issuer URIs will lead to authentication failures for users in the domain. URIs do emissor podem ser alteradas diretamente no AD FS ou quando um domínio é convertido de gerenciado para federado e vice-versa.Issuer URIs can be changed directly in AD FS or when a domain is converted from managed to federated and vice versa. A Microsoft recomenda que os clientes não adicionem, removam ou convertam um domínio federado no locatário do Azure AD que está sendo migrado.Microsoft recommends customers don't add, remove, or convert a federated domain in the Azure AD tenant being migrated. As URIs do emissor podem ser alteradas depois que a migração estiver completa.Issuer URIs can be changed after the migration is fully complete.

  • Para rede:For networking:

    • A criação de redes nomeadas por IPv6 não funciona no portal do Azure, http://portal.microsoftazure.de/ .Creating IPv6-named networks doesn't work in the Azure portal, http://portal.microsoftazure.de/. Use o portal do Azure em para criar redes nomeadas https://portal.azure.com por IPv6.Use the Azure portal at https://portal.azure.com to create IPv6-named networks.

    • Não é possível criar intervalos de endereços IP confiáveis para configurações de serviço MFA (Autenticação Multifacional) do Azure a partir do portal do Microsoft Cloud Deutschland.You can't create trusted IP address ranges for Azure Multi-Factor Authentication (MFA) service settings from the Microsoft Cloud Deutschland portal. Use o portal do Azure AD para Office 365 serviços para criar intervalos de endereços IP confiáveis do Azure MFA.Use the Azure AD portal for Office 365 services to create Azure MFA trusted IP address ranges.

  • Para Acesso Condicional:For Conditional Access:

    • As políticas de Acesso Condicional com os seguintes controles de concessão não são suportadas até que a migração para serviços Office 365 seja concluída (após a fase de migração finalizar o Azure AD):Conditional Access policies with the following grant controls aren't supported until migration to Office 365 services is complete (after the Finalize Azure AD migration phase):

      • Exigir dispositivo compatívelRequire Compliant Device
      • Exigir aplicativo aprovadoRequire Approved App
      • Exigir Política de Proteção de AplicativosRequire App Protection Policy
    • A interface de política de Acesso Condicional dá um aviso falso sobre os padrões de segurança que estão sendo habilitados para o locatário mesmo quando ele está desabilitado, e as políticas de Acesso Condicional já existem para o locatário.The Conditional Access policy interface gives a false warning about security defaults being enabled for the tenant even when it's disabled, and Conditional Access policies already exist for the tenant. Você deve ignorar o aviso ou usar o portal de serviços Office 365 para gerenciar políticas de Acesso Condicional.You should ignore the warning or use the Office 365 services portal to manage Conditional Access policies.

  • Os cenários do Intune só são suportados em pontos de extremidade mundiais após a conclusão da migração de locatários, incluindo todas as migrações de cargas de trabalho do office.Intune scenarios are supported only against worldwide endpoints after tenant migration is complete, including all office workloads migrations.

  • Os usuários do Microsoft Cloud Deutschland que usam o método de Notificação de Aplicativo Móvel para solicitações MFA veem ObjectId (um GUID) do usuário em vez do nome principal do usuário (UPN) no aplicativo Microsoft Authenticator do usuário.Microsoft Cloud Deutschland users who use the Mobile App Notification method for MFA requests see the user's ObjectId (a GUID) instead of the user principal name (UPN) in the Microsoft Authenticator app. Após a migração do locatário do Azure AD ser concluída e hospedada em serviços Office 365, novas Microsoft Authenticator ativações exibirão os UPNs dos usuários.After migration of the Azure AD tenant is complete and hosted in Office 365 services, new Microsoft Authenticator activations will display users' UPNs. As contas Microsoft Authenticator existentes continuarão a exibir o objectId do usuário, mas continuarão a funcionar para notificações de aplicativo móvel.Existing Microsoft Authenticator accounts will continue to display the user ObjectId, but they'll continue to work for mobile app notifications.

  • Para locatários criados após 22 de outubro de 2019, os padrões de segurança podem ser habilitados automaticamente para o locatário quando migrados para o serviço Office 365.For tenants that are created after October 22, 2019, security defaults may be auto-enabled for the tenant when it's migrated to the Office 365 service. Os administradores de locatários podem optar por deixar os padrões de segurança habilitados e se registrar no MFA, ou podem desabilitar o recurso.Tenant admins can choose to leave security defaults enabled and register for MFA, or they can disable the feature. Para obter mais informações, consulte Desabilitando padrões de segurança.For more information, see Disabling security defaults.

    Observação

    As organizações que não estão habilitadas automaticamente durante a migração ainda poderão ser automaticamente inscritas no futuro, pois o recurso para habilitar padrões de segurança é lançado no serviço Office 365 de segurança.Organizations that are not auto-enabled during migration may still be auto-enrolled in the future as the feature to enable security defaults is rolled out in the Office 365 service. Os administradores que optarem por desabilitar ou habilitar explicitamente os padrões de segurança podem fazer isso atualizando o recurso em Azure Active Directory > Propriedades.Admins who choose to explicitly disable or enable security defaults may do so by updating the feature under Azure Active Directory > Properties. Depois que o recurso for explicitamente habilitado pelo administrador, ele não será habilitado automaticamente.After the feature is explicitly enabled by the admin, it will not be auto-enabled.

  • Haverá um aviso sobre a versão do Azure AD Conexão no portal Office 365 Alemanha, bem como no portal Office 365 uma vez que o locatário está em migração.There will be warning about the version of Azure AD Connect in the Office 365 Germany portal as well as in the Office 365 portal once the tenant is in migration. Isso pode ser ignorado se o aviso de versão não estiver mais mostrando o aviso após a conclusão da migração.This can be ignored if the version warning is no longer showing the warning after the migration is complete. Se houver um aviso, antes ou depois da migração, em qualquer portal, o Azure AD Conexão deve ser atualizado.If there's a warning, either before or after migration, in either portal, Azure AD Connect must be updated. A mensagem de aviso diz: "Detectamos que você está usando uma ferramenta de sincronização de diretório desatualizada.The warning message says: "We detected you're using an outdated directory sync tool. Recomendamos que você vá para o Centro de Download da Microsoft para obter a versão mais recente do Azure AD Conexão."We recommend you go to the Microsoft Download Center to get the latest version of Azure AD Connect."

Mais informaçõesMore information

Como começar:Getting started:

Movendo-se pela transição:Moving through the transition:

Aplicativos de nuvem:Cloud apps: