Дополнительные сведения Azure Active Directory для миграции из Microsoft Cloud DeutschlandAdditional Azure Active Directory information for the migration from Microsoft Cloud Deutschland

Чтобы завершить переход из облака Azure в общеизвестное облако Azure, рекомендуется, чтобы конечная точка проверки подлинности, конечная точка Azure Active Directory (Azure AD) и конечные точки MS Graph для ваших приложений были обновлены до конечных точек коммерческого облака, когда конечная точка OpenID Connect (OIDC) начинает сообщать о коммерческих конечных точках https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration облака.To complete the move from the Azure German cloud to the Azure public cloud we recommend that the authentication endpoint, Azure Active Directory (Azure AD) Graph, and MS Graph endpoints for your applications be updated to those of the commercial cloud when the OpenID Connect (OIDC) endpoint, https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration, starts reporting commercial cloud endpoints.

Когда следует внести это изменение?When should I make this change?

Вы получите уведомление на портале Azure/Office, когда клиент завершит миграцию из немецкого облака в коммерческое облако.You'll receive a notification in Azure/Office portal when your tenant completes migration from German cloud to the commercial cloud. У вас есть 30 дней после получения этого уведомления, чтобы завершить эти обновления, чтобы ваше приложение продолжило работать для клиентов, которые переносились из облака Azure Germany в облако Azure Public.You have 30 days after receiving this notification to complete these updates so that your app continues to work for tenants that are migrated from Azure Germany cloud to Azure Public cloud.

Существует три предпосылки для обновления полномочий регистрации:There are three preconditions to updating your sign-in authority:

  • Конечная точка обнаружения OIDC для клиента возвращает конечные точки облачного облака https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration Azure AD.OIDC discovery endpoint for your tenant https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration returns Azure AD public cloud endpoints.

  • Если клиент настроен для федерации, службы Федерации Active Directory (AD FS) обновляются для синхронизации с Azure AD Public.If your tenant is set up for federation, Active Directory Federation Services (AD FS) is updated to sync with Azure AD Public. Вы можете выполнять инструкции по обновлению параметров Azure AD Connect для принятия этого изменения.You can follow instructions to update Azure AD Connect settings for making this change.

  • Приложения-ресурсы, если таково, используемые вашими приложениями, модифицироваться для приемки маркеров, подписанных как Azure AD Germany, так и Azure AD Public.Resource applications, if any, used by your applications are modified to accept tokens that are signed by both Azure AD Germany and Azure AD Public.

Какие приложения?What kind of applications?

Приложение может быть любым из следующих:An application could be any of the following:

Примечание

Когда приложение переключается на использование в качестве вашего органа, маркеры login.microsoftonline.com будут подписаны этим новым органом.When an application switches to using login.microsoftonline.com as your authority, the tokens will be signed by this new authority. Если у вас есть какие-либо приложения-ресурсы, в которые звонят другие приложения, необходимо разрешить проверку токенов.If you host any resource applications that other apps call into, you will need to allow for lax token validation. Это означает, что вашему приложению необходимо разрешить маркеры, подписанные общедоступными облаками Azure AD Germany и Azure AD.This means that your app needs to allow tokens that are signed by both the Azure AD Germany and Azure AD public clouds. Эта слабая проверка маркеров необходима, пока все клиентские приложения, вызывавшие службу, не будут полностью перенесены в общественное облако Azure AD.This lax token validation is needed until all client applications that call your service are fully migrated to the Azure AD public cloud. После переноса приложению ресурсов необходимо принимать только маркеры, подписанные общедоступным облаком Azure AD.After migration, your resource application only needs to accept tokens signed by the Azure AD public cloud.

Что нужно обновить?What do I need to update?

  1. Если вы размещены приложение в Azure Germany, которое используется для проверки подлинности пользователей Azure Germany или Office 365 Germany, убедитесь, что используется в качестве органа в контексте проверки https://login.microsoftonline.com подлинности.If you're hosting an application in Azure Germany that is used to authenticate Azure Germany or Office 365 Germany users, ensure that https://login.microsoftonline.com is used as the authority in the authentication context.

    • См. контексты проверки подлинности Azure AD.See Azure AD authentication contexts.
    • Это относится как к проверке подлинности в приложении, так и к проверке подлинности для любых API, которые может вызывать ваше приложение (например, Microsoft Graph, Azure AD Graph, Azure Resource Manager).This applies both to authentication to your application as well as authentication to any APIs that your application may be calling (that is, Microsoft Graph, Azure AD Graph, Azure Resource Manager).
  2. Обновление конечной точки Azure AD Graph. https://graph.windows.netUpdate Azure AD Graph endpoint to be https://graph.windows.net.

  3. Обновление конечной точки MS https://graph.microsoft.com Graph.Update MS Graph endpoint to be https://graph.microsoft.com.

  4. Обновите все конечные точки немецких облаков (например, для Exchange Online и SharePoint Online), которые используются вашими приложениями для общедоступных облаков.Update any German cloud endpoints (such as those for Exchange Online and SharePoint Online) that are used by your applications to be those of the public cloud.

  5. Обновление параметров среды, которые AzurePublic будут (а AzureGermany не) в административных средствах и сценариях для:Update environment parameters to be AzurePublic (instead of AzureGermany) in administrative tools and scripts for:

Как насчет приложений, которые я публикую?What about applications that I publish?

Если вы публикуете приложение, доступное пользователям, которые находятся за пределами клиента, вам может потребоваться изменить регистрацию приложения для обеспечения непрерывности.If you publish an application that is available to users who are outside of your tenant, you may need to change your application registration to ensure continuity. Другие клиенты, которые используют ваше приложение, могут быть перемещены в другое время, чем ваш клиент.Other tenants that use your application may be moved at a different time than your tenant. Чтобы они никогда не теряли доступ к приложению, необходимо дать согласие на синхронизацию приложения из Azure Germany в azure public.To ensure that they never lose access to your application, you'll need to consent to your app being synchronized from Azure Germany to Azure public.

Дополнительные рекомендацииAdditional considerations

Вот некоторые дополнительные соображения для Azure AD:Here are some additional considerations for Azure AD:

  • Для федератированной проверки подлинности:For federated authentication:

    • Вы не должны создавать, продвигать или понизить федеративную область во время перехода клиента.You must not create, promote, or demote a federated domain while the tenant transition is in process. После завершения миграции в службу Azure AD (клиент полностью завершен), можно возобновить управление федератными доменами.After the migration to the Azure AD service is complete (the tenant is fully complete), you can resume managing federated domains.

    • Если вы используете федераную проверку подлинности с помощью служб Федерации Active Directory (AD FS), не следует вносить изменения в URL-адреса эмитента, используемые для всей проверки подлинности с локальной службой домена Active Directory (AD DS) во время миграции.If you're using federated authentication with Active Directory Federation Services (AD FS), you shouldn't make changes to Issuer URIs used for all authentication with your on-premises Active Directory Domain Services (AD DS) during migration. Изменение URL-адресов эмитента приведет к сбоям проверки подлинности для пользователей домена.Changing issuer URIs will lead to authentication failures for users in the domain. URL-адреса эмитента могут быть изменены непосредственно в AD FS или при преобразовании домена из управляемого в федераторский и наоборот.Issuer URIs can be changed directly in AD FS or when a domain is converted from managed to federated and vice versa. Корпорация Майкрософт рекомендует клиентам не добавлять, удалять или конвертировать федераированный домен в переносимом клиенте Azure AD.Microsoft recommends customers don't add, remove, or convert a federated domain in the Azure AD tenant being migrated. URL-адреса эмитента могут быть изменены после полного завершения миграции.Issuer URIs can be changed after the migration is fully complete.

  • Для сетей:For networking:

    • Создание сетей с именем IPv6 не работает на портале http://portal.microsoftazure.de/ Azure.Creating IPv6-named networks doesn't work in the Azure portal, http://portal.microsoftazure.de/. Используйте портал Azure для создания сетей с именем https://portal.azure.com IPv6.Use the Azure portal at https://portal.azure.com to create IPv6-named networks.

    • Нельзя создавать надежные диапазоны IP-адресов для параметров службы многофакторной проверки подлинности Azure на портале Microsoft Cloud Deutschland.You can't create trusted IP address ranges for Azure Multi-Factor Authentication (MFA) service settings from the Microsoft Cloud Deutschland portal. Используйте портал Azure AD для служб Office 365 для создания надежных ip-адресов Azure MFA.Use the Azure AD portal for Office 365 services to create Azure MFA trusted IP address ranges.

  • Для условного доступа:For Conditional Access:

    • Политики условного доступа со следующими средствами управления грантами не поддерживаются до завершения миграции в службы Office 365 (после завершения этапа миграции Azure AD):Conditional Access policies with the following grant controls aren't supported until migration to Office 365 services is complete (after the Finalize Azure AD migration phase):

      • Требующее совместимых устройствRequire Compliant Device
      • Require Approved AppRequire Approved App
      • Политика защиты приложенийRequire App Protection Policy
    • Интерфейс политики условного доступа дает ложное предупреждение о включении по умолчанию безопасности для клиента даже при его отключении, а политики условного доступа уже существуют для клиента.The Conditional Access policy interface gives a false warning about security defaults being enabled for the tenant even when it's disabled, and Conditional Access policies already exist for the tenant. Следует игнорировать предупреждение или использовать портал служб Office 365 для управления политиками условного доступа.You should ignore the warning or use the Office 365 services portal to manage Conditional Access policies.

  • Сценарии Intune поддерживаются только в отношении конечных точек во всем мире после завершения миграции клиента, включая все миграции рабочих нагрузок в офисе.Intune scenarios are supported only against worldwide endpoints after tenant migration is complete, including all office workloads migrations.

  • Пользователи Microsoft Cloud Deutschland, которые используют метод уведомления мобильных приложений для запросов MFA, видят объектный объект пользователя (GUID) вместо основного имени пользователя (UPN) в приложении Microsoft Authenticator.Microsoft Cloud Deutschland users who use the Mobile App Notification method for MFA requests see the user's ObjectId (a GUID) instead of the user principal name (UPN) in the Microsoft Authenticator app. После завершения миграции клиента Azure AD в службы Office 365 новые активации Microsoft Authenticator будут отображать upNs пользователей.After migration of the Azure AD tenant is complete and hosted in Office 365 services, new Microsoft Authenticator activations will display users' UPNs. Существующие учетные записи Microsoft Authenticator будут по-прежнему отображать пользователя ObjectId, но они будут продолжать работать для уведомлений мобильных приложений.Existing Microsoft Authenticator accounts will continue to display the user ObjectId, but they'll continue to work for mobile app notifications.

  • Для клиентов, созданных после 22 октября 2019 г., по умолчанию могут быть автоматически включены для клиента при переходе на службу Office 365.For tenants that are created after October 22, 2019, security defaults may be auto-enabled for the tenant when it's migrated to the Office 365 service. Администраторы клиентов могут оставить включенными по умолчанию безопасность и зарегистрироваться для MFA или отключить функцию.Tenant admins can choose to leave security defaults enabled and register for MFA, or they can disable the feature. Дополнительные сведения см. в дополнительных сведениях об отключении по умолчанию безопасности.For more information, see Disabling security defaults.

    Примечание

    Организации, не включенные автоматически во время миграции, могут быть автоматически зарегистрированы в будущем, так как функция включения по умолчанию безопасности будет включена в службе Office 365.Organizations that are not auto-enabled during migration may still be auto-enrolled in the future as the feature to enable security defaults is rolled out in the Office 365 service. Администраторы, которые явно отключали или включали по умолчанию безопасность, могут это сделать, обновив функцию в Azure Active Directory > Свойства.Admins who choose to explicitly disable or enable security defaults may do so by updating the feature under Azure Active Directory > Properties. После явного включения функции администратором она не будет включена автоматически.After the feature is explicitly enabled by the admin, it will not be auto-enabled.

  • После миграции клиента будут предупреждать о версии Azure AD Connect на портале Office 365 в Германии, а также на портале Office 365.There will be warning about the version of Azure AD Connect in the Office 365 Germany portal as well as in the Office 365 portal once the tenant is in migration. Это можно игнорировать, если предупреждение версии больше не отображается после завершения миграции.This can be ignored if the version warning is no longer showing the warning after the migration is complete. Если на любом портале есть предупреждение до или после миграции, необходимо обновить Azure AD Connect.If there's a warning, either before or after migration, in either portal, Azure AD Connect must be updated. В предупреждаемом сообщении говорится: "Мы обнаружили, что вы используете устаревший инструмент синхронизации каталогов.The warning message says: "We detected you're using an outdated directory sync tool. Мы рекомендуем вам перейти в Центр загрузки Майкрософт, чтобы получить последнюю версию Azure AD Connect".We recommend you go to the Microsoft Download Center to get the latest version of Azure AD Connect."

Дополнительная информацияMore information

Начало работы:Getting started:

Перемещение по переходу:Moving through the transition:

Облачные приложения:Cloud apps: