Migrera identitetsresurser till globala Azure

Viktigt

Sedan augusti 2018 har vi inte tagit emot nya kunder eller distribuerat några nya funktioner och tjänster till de ursprungliga Platserna för Microsoft Cloud Tyskland.

Baserat på utvecklingen av kundernas behov lanserade vi nyligen två nya datacenterregioner i Tyskland, som erbjuder kunddatahemlighet, fullständig anslutning till Microsofts globala molnnätverk samt konkurrenskraftiga priser.

Dessutom meddelade vi den 30 september 2020 att Microsoft Cloud Tyskland stängs den 29 oktober 2021. Mer information finns här: https://www.microsoft.com/cloud-platform/germany-cloud-regions.

Dra nytta av funktionerna, säkerhet i företagsklass och omfattande funktioner som är tillgängliga i våra nya tyska datacenterregioner genom att migrera i dag.

Den här artikeln innehåller information som kan hjälpa dig att migrera Azure-identitetsresurser från Azure Tyskland till globala Azure.

Vägledningen om identitet/klientorganisation är avsedd för kunder som endast använder Azure. Om du använder vanliga Azure Active Directory-klientorganisationer (Azure AD) för Azure och Microsoft 365 (eller andra Microsoft-produkter) finns det komplexitet i identitetsmigrering och du bör först kontakta din kontoansvariga innan du använder den här migreringsvägledningen.

Azure Active Directory

Azure AD i Azure Tyskland är separat från Azure AD i globala Azure. För närvarande kan du inte flytta Azure AD-användare från Azure Tyskland till globala Azure.

Standardklientnamn i Azure Tyskland och globala Azure är alltid olika eftersom Azure automatiskt lägger till ett suffix baserat på miljön. Ett användarnamn för en medlem i contoso-klientorganisationen i globala Azure är till exempel user1@contoso.microsoftazure.com. I Azure Tyskland är det user1@contoso.microsoftazure.de.

När du använder anpassade domännamn (till contoso.com) i Azure AD måste du registrera domännamnet i Azure. Anpassade domännamn kan bara definieras i en molnmiljö i taget. Domänverifieringen misslyckas när domänen redan är registrerad i någon instans av Azure Active Directory. Till exempel kan användaren user1@contoso.com som finns i Azure Tyskland inte också finnas i globala Azure under samma namn på samma gång. Registreringen för contoso.com misslyckas.

En "mjuk" migrering där vissa användare redan finns i den nya miljön och vissa användare fortfarande är i den gamla miljön kräver olika inloggningsnamn för de olika molnmiljöerna.

Vi tar inte upp alla möjliga migreringsscenarion i den här artikeln. En rekommendation beror till exempel på hur du etablerar användare, vilka alternativ du har för att använda olika användarnamn eller UserPrincipalNames och andra beroenden. Men vi har kompilerat några tips som hjälper dig att inventera användare och grupper i din aktuella miljö.

Om du vill hämta en lista över alla cmdlets relaterade till Azure AD kör du:

Get-Help Get-AzureAD*

Inventeringsanvändare

Så här får du en översikt över alla användare och grupper som finns i din Azure AD-instans:

Get-AzureADUser -All $true

Om du bara vill visa aktiverade konton lägger du till följande filter:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true}

Om du vill göra en fullständig dump av alla attribut, om du skulle glömma något:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | Format-List *

Så här väljer du de attribut som du behöver för att skapa om användarna:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname

Om du vill exportera listan Excel du cmdleten Export-Csv i slutet av listan. En fullständig export kan se ut som i det här exemplet:

Get-AzureADUser -All $true | Where-Object {$_.AccountEnabled -eq $true} | select UserPrincipalName,DisplayName,GivenName,Surname | Export-Csv -Path c:\temp\alluserUTF8.csv -Delimiter ";" -Encoding UTF8

Anteckning

Du kan inte migrera lösenord. I stället måste du tilldela nya lösenord eller använda en självbetjäning, beroende på ditt scenario.

Beroende på din miljö kan du också behöva samla in annan information, till exempel värden för Tillägg, DirectReport eller LicenseDetail.

Formatera CSV-filen efter behov. Följ sedan stegen som beskrivs i Importera data från CSV för att skapa om användarna i den nya miljön.

Inventeringsgrupper

Så här dokumenterar du gruppmedlemskap:

Get-AzureADGroup

Så här hämtar du listan över medlemmar för varje grupp:

Get-AzureADGroup | ForEach-Object {$_.DisplayName; Get-AzureADGroupMember -ObjectId $_.ObjectId}

Inventering av tjänstens huvudnamn och program

Även om du måste skapa om alla tjänstens huvudnamn och program är det en bra idé att dokumentera status för tjänstens huvudnamn och program. Du kan använda följande cmdlets för att få en omfattande lista över alla tjänstens huvudnamn:

Get-AzureADServicePrincipal |Format-List *

Get-AzureADApplication |Format-List *

Du kan få mer information med hjälp av andra cmdlets som börjar med Get-AzureADServicePrincipal* eller Get-AzureADApplication*.

Katalogroller för inventering

Så här dokumenterar du den aktuella rolltilldelningen:

Get-AzureADDirectoryRole

Gå igenom varje roll för att hitta användare eller program som är associerade med rollen:

Get-AzureADDirectoryRole | ForEach-Object {$_.DisplayName; Get-AzureADDirectoryRoleMember -ObjectId
$_.ObjectId | Format-Table}

Mer information:

• Lär dig mer om hybrididentitetslösningar.
• Läs blogginlägget Använda Azure AD Anslut med flera moln för att lära dig mer om hur du kan synkronisera till olika molnmiljöer.
• Läs mer om Azure Active Directory.
• Läs mer om anpassade domännamn.
• Lär dig hur du importerar data från CSV till Azure AD.

Azure AD Connect

Azure AD Anslut är ett verktyg som synkroniserar dina identitetsdata mellan en lokal Active Directory-instans Azure Active Directory (Azure AD). Den aktuella versionen av Azure AD Anslut fungerar både för Azure Tyskland och globala Azure. Azure AD Anslut kan bara synkronisera till en Azure AD-instans i taget. Om du vill synkronisera med Azure Tyskland och globala Azure samtidigt kan du överväga följande alternativ:

• Använd ytterligare en server för en andra instans av Azure AD Anslut. Du kan inte ha flera instanser av Azure AD Anslut på samma server.
• Definiera ett nytt inloggningsnamn för dina användare. Domändelen (efter @) av inloggningsnamnet måste vara olika i varje miljö.
• Definiera en tydlig "sanningskälla" när du också synkroniserar bakåt (från Azure AD till lokal Active Directory).

Om du redan använder Azure AD Anslut att synkronisera till och från Azure Tyskland ska du se till att migrera alla användare som skapats manuellt. Följande PowerShell-cmdlet visar en lista över alla användare som inte har synkroniserats med hjälp av Azure AD Anslut:

Get-AzureADUser -All $true |Where-Object {$_.DirSyncEnabled -ne "True"}

Mer information:

• Läs mer om Azure AD Anslut.

Multi-Factor Authentication

Du måste skapa om användare och omdefiniera din Azure AD Multi-Factor Authentication-instans i den nya miljön.

Så här hämtar du en lista över användarkonton där multifaktorautentisering är aktiverat eller framtvingat:

1. Logga in på Azure-portalen.
2. Välj AnvändareAlla>användareMulti-Factor> Authentication.
3. När du omdirigeras till tjänstsidan för multifaktorautentisering anger du lämpliga filter för att hämta en lista över användare.

Mer information:

• Läs mer om Azure AD Multi-Factor Authentication.

Nästa steg

Lär dig mer om verktyg, tekniker och rekommendationer för att migrera resurser i följande tjänstkategorier:

• Beräkning
• Nätverk
• Storage
• Webb
• Databaser
• Analys
• IoT
• Integrering
• Säkerhet
• Hanteringsverktyg
• Media