Azure aboneliğini farklı bir Azure AD dizinine aktarmaTransfer an Azure subscription to a different Azure AD directory

Kuruluşların çeşitli Azure abonelikleri olabilir.Organizations might have several Azure subscriptions. Her abonelik belirli bir Azure Active Directory (Azure AD) diziniyle ilişkilendirilir.Each subscription is associated with a particular Azure Active Directory (Azure AD) directory. Yönetimi kolaylaştırmak için, farklı bir Azure AD dizinine bir abonelik aktarmak isteyebilirsiniz.To make management easier, you might want to transfer a subscription to a different Azure AD directory. Bir aboneliği farklı bir Azure AD dizinine aktardığınızda, bazı kaynaklar hedef dizine aktarılmaz.When you transfer a subscription to a different Azure AD directory, some resources are not transferred to the target directory. Örneğin, Azure rol tabanlı erişim denetimindeki (Azure RBAC) tüm rol atamaları ve özel roller, kaynak dizinden kalıcı olarak silinir ve hedef dizine aktarılmaz.For example, all role assignments and custom roles in Azure role-based access control (Azure RBAC) are permanently deleted from the source directory and are not be transferred to the target directory.

Bu makalede, bir aboneliği farklı bir Azure AD dizinine aktarmak ve aktarımdan sonra bazı kaynakları yeniden oluşturmak için izleyebileceğiniz temel adımlar açıklanmaktadır.This article describes the basic steps you can follow to transfer a subscription to a different Azure AD directory and re-create some of the resources after the transfer.

Not

Azure bulut çözümü sağlayıcıları (CSP) abonelikleri için, aboneliğin Azure AD dizinini değiştirme desteklenmez.For Azure Cloud Solution Providers (CSP) subscriptions, changing the Azure AD directory for the subscription isn't supported.

Genel BakışOverview

Azure aboneliğini farklı bir Azure AD dizinine aktarmak, dikkatlice planlanmalıdır ve yürütülmesi gereken karmaşık bir işlemdir.Transferring an Azure subscription to a different Azure AD directory is a complex process that must be carefully planned and executed. Birçok Azure hizmeti, normal şekilde çalışması için güvenlik sorumlularını (kimlikler) gerektirir veya diğer Azure kaynaklarını yönetebilir.Many Azure services require security principals (identities) to operate normally or even manage other Azure resources. Bu makale, güvenlik ilkelerine büyük ölçüde bağlı olan, ancak kapsamlı olmayan Azure hizmetlerinin çoğunu kapsamaya çalışır.This article tries to cover most of the Azure services that depend heavily on security principals, but is not comprehensive.

Önemli

Bazı senaryolarda, bir aboneliğin aktarılması işlemi tamamlaması için kapalı kalma süresi gerekebilir.In some scenarios, transferring a subscription might require downtime to complete the process. Aktarımınız için kapalı kalma süresinin gerekli olup olmadığını değerlendirmek için dikkatli bir planlama yapılması gerekir.Careful planning is required to assess whether downtime will be required for your transfer.

Aşağıdaki diyagramda, bir aboneliği farklı bir dizine aktardığınızda izlemeniz gereken temel adımlar gösterilmektedir.The following diagram shows the basic steps you must follow when you transfer a subscription to a different directory.

  1. Aktarım için hazırlanmaPrepare for the transfer

  2. Azure aboneliğini farklı bir dizine aktarmaTransfer the Azure subscription to a different directory

  3. Hedef dizinde rol atamaları, özel roller ve yönetilen kimlikler gibi kaynakları yeniden oluşturunRe-create resources in the target directory such as role assignments, custom roles, and managed identities

    Aktarım aboneliği diyagramı

Bir aboneliğin farklı bir dizine aktarılmaya karar vermeDeciding whether to transfer a subscription to a different directory

Abonelik aktarmak isteyebileceğiniz bazı nedenler aşağıda verilmiştir:The following are some reasons why you might want to transfer a subscription:

  • Bir şirket merceği veya alımı nedeniyle, birincil Azure AD dizininizde alınan bir aboneliği yönetmek istiyorsunuz.Because of a company merger or acquisition, you want to manage an acquired subscription in your primary Azure AD directory.
  • Kuruluşunuzdaki birisi bir abonelik oluşturdu ve yönetimi belirli bir Azure AD dizini ile birleştirmek istiyorsunuz.Someone in your organization created a subscription and you want to consolidate management to a particular Azure AD directory.
  • Belirli bir abonelik KIMLIĞINE veya URL 'ye bağlı olan uygulamalarınız vardır ve uygulama yapılandırmasını veya kodunu değiştirmek kolay değildir.You have applications that depend on a particular subscription ID or URL and it isn't easy to modify the application configuration or code.
  • İşletmenizin bir kısmı ayrı bir şirkete bölünür ve kaynaklarınızın bazılarını farklı bir Azure AD dizinine taşımanız gerekir.A portion of your business has been split into a separate company and you need to move some of your resources into a different Azure AD directory.
  • Güvenlik yalıtımı amacıyla, farklı bir Azure AD dizininde kaynaklarınızın bazılarını yönetmek istiyorsunuz.You want to manage some of your resources in a different Azure AD directory for security isolation purposes.

Alternatif yaklaşımlarAlternate approaches

Aboneliğin aktarılması işlemi tamamlaması için kapalı kalma süresi gerekir.Transferring a subscription requires downtime to complete the process. Senaryonuza bağlı olarak, aşağıdaki alternatif yaklaşımları göz önünde bulundurun:Depending on your scenario, you can consider the following alternate approaches:

  • Kaynakları yeniden oluşturun ve hedef dizine ve aboneliğe verileri kopyalayın.Re-create the resources and copy data to the target directory and subscription.
  • Çoklu Dizin mimarisini benimseyin ve aboneliği kaynak dizinde bırakın.Adopt a multi-directory architecture and leave the subscription in the source directory. Hedef dizindeki kullanıcıların kaynak dizindeki aboneliğe erişebilmesi için Azure açık Thouse ' i kullanarak kaynakları devretmek.Use Azure Lighthouse to delegate resources so that users in the target directory can access the subscription in the source directory. Daha fazla bilgi için bkz. Kurumsal senaryolarda Azure açık Thouse.For more information, see Azure Lighthouse in enterprise scenarios.

Abonelik aktarma etkisini anlayınUnderstand the impact of transferring a subscription

Birkaç Azure kaynağı bir aboneliğe veya dizine bağımlılığı vardır.Several Azure resources have a dependency on a subscription or a directory. Durumunuza bağlı olarak, aşağıdaki tabloda bir aboneliği aktarmanın bilinen etkileri listelenmektedir.Depending on your situation, the following table lists the known impact of transferring a subscription. Bu makaledeki adımları gerçekleştirerek, abonelik aktarımından önce var olan kaynakların bazılarını yeniden oluşturabilirsiniz.By performing the steps in this article, you can re-create some of the resources that existed prior to the subscription transfer.

Önemli

Bu bölüm, aboneliğinize bağlı olan bilinen Azure hizmetlerini veya kaynaklarını listeler.This section lists the known Azure services or resources that depend on your subscription. Azure 'daki kaynak türleri sürekli olarak geliştiğinden, ortamınızda önemli bir değişikliğe neden olabilecek ek bağımlılıklar olabilir.Because resource types in Azure are constantly evolving, there might be additional dependencies not listed here that can cause a breaking change to your environment.

Hizmet veya kaynakService or resource EtkilendiğiniImpacted GiderRecoverable Etkilensin mi?Are you impacted? YapabileceklerinizWhat you can do
Rol atamalarıRole assignments YesYes YesYes Rol atamalarını listelemeList role assignments Tüm rol atamaları kalıcı olarak silinir.All role assignments are permanently deleted. Kullanıcıları, grupları ve hizmet sorumlularını hedef dizindeki ilgili nesnelerle eşlemeniz gerekir.You must map users, groups, and service principals to corresponding objects in the target directory. Rol atamalarını yeniden oluşturmanız gerekir.You must re-create the role assignments.
Özel rollerCustom roles YesYes YesYes Özel rolleri listelemeList custom roles Tüm özel roller kalıcı olarak silinir.All custom roles are permanently deleted. Özel rolleri ve tüm rol atamalarını yeniden oluşturmanız gerekir.You must re-create the custom roles and any role assignments.
Sistem tarafından atanan Yönetilen kimliklerSystem-assigned managed identities YesYes YesYes Yönetilen kimlikleri listelemeList managed identities Yönetilen kimlikleri devre dışı bırakıp yeniden etkinleştirmeniz gerekir.You must disable and re-enable the managed identities. Rol atamalarını yeniden oluşturmanız gerekir.You must re-create the role assignments.
Kullanıcı tarafından atanan Yönetilen kimliklerUser-assigned managed identities YesYes YesYes Yönetilen kimlikleri listelemeList managed identities Yönetilen kimlikleri silmeniz, yeniden oluşturmanız ve uygun kaynağa bağlamanız gerekir.You must delete, re-create, and attach the managed identities to the appropriate resource. Rol atamalarını yeniden oluşturmanız gerekir.You must re-create the role assignments.
Azure Key VaultAzure Key Vault YesYes YesYes Key Vault erişim ilkelerini listelemeList Key Vault access policies Anahtar kasaları ile ilişkili kiracı KIMLIĞINI güncelleştirmeniz gerekir.You must update the tenant ID associated with the key vaults. Yeni erişim ilkelerini kaldırmalı ve eklemeniz gerekir.You must remove and add new access policies.
Azure AD kimlik doğrulaması tümleştirmesinin etkinleştirildiği Azure SQL veritabanlarıAzure SQL databases with Azure AD authentication integration enabled YesYes HayırNo Azure AD kimlik doğrulamasıyla Azure SQL veritabanlarını denetlemeCheck Azure SQL databases with Azure AD authentication Azure AD kimlik doğrulaması etkin bir Azure SQL veritabanı 'nı farklı bir dizine aktaramazsınız.You cannot transfer an Azure SQL database with Azure AD authentication enabled to a different directory. Daha fazla bilgi için bkz. Azure Active Directory kimlik doğrulaması kullanma.For more information, see Use Azure Active Directory authentication.
Azure depolama ve Azure Data Lake Storage 2.Azure Storage and Azure Data Lake Storage Gen2 YesYes YesYes Tüm ACL 'Leri yeniden oluşturmanız gerekir.You must re-create any ACLs.
Azure Data Lake Storage 1. NesilAzure Data Lake Storage Gen1 EvetYes YesYes Tüm ACL 'Leri yeniden oluşturmanız gerekir.You must re-create any ACLs.
Azure DosyalarıAzure Files YesYes YesYes Tüm ACL 'Leri yeniden oluşturmanız gerekir.You must re-create any ACLs.
Azure Dosya EşitlemeAzure File Sync YesYes YesYes Depolama eşitleme hizmeti ve/veya depolama hesabı farklı bir dizine taşınabilir.The storage sync service and/or storage account can be moved to a different directory. Daha fazla bilgi için bkz. Azure dosyaları hakkında sık sorulan sorular (SSS)For more information, see Frequently asked questions (FAQ) about Azure Files
Azure Yönetilen DiskleriAzure Managed Disks YesYes YesYes Yönetilen diskleri müşteri tarafından yönetilen anahtarlarla şifrelemek için disk şifreleme kümeleri kullanıyorsanız, disk şifreleme kümeleriyle ilişkili sistem tarafından atanan kimlikleri devre dışı bırakıp yeniden etkinleştirmeniz gerekir.If you are using Disk Encryption Sets to encrypt Managed Disks with customer-managed keys, you must disable and re-enable the system-assigned identities associated with Disk Encryption Sets. Ve rol atamalarını yeniden oluşturmanız gerekir, yani anahtar kasalarındaki disk şifreleme kümelerine gerekli izinleri verin.And you must re-create the role assignments i.e. again grant required permissions to Disk Encryption Sets in the Key Vaults.
Azure Kubernetes ServiceAzure Kubernetes Service YesYes HayırNo AKS kümenizi ve ilişkili kaynaklarını farklı bir dizine aktaramazsınız.You cannot transfer your AKS cluster and its associated resources to a different directory. Daha fazla bilgi için bkz. Azure Kubernetes hizmeti (AKS) hakkında sık sorulan sorularFor more information, see Frequently asked questions about Azure Kubernetes Service (AKS)
Azure İlkesiAzure Policy YesYes HayırNo Özel tanımlar, Atamalar, muafiyetler ve uyumluluk verileri dahil olmak üzere tüm Azure Ilke nesneleri.All Azure Policy objects, including custom definitions, assignments, exemptions, and compliance data. Tanımları dışarıve içeri aktarmanız gerekir.You must export, import, and re-assign definitions. Ardından, yeni ilke atamaları ve gerekli ilke muafiyetlerioluşturun.Then, create new policy assignments and any needed policy exemptions.
Azure Active Directory Domain ServicesAzure Active Directory Domain Services YesYes HayırNo Azure AD Domain Services yönetilen bir etki alanını farklı bir dizine aktaramazsınız.You cannot transfer an Azure AD Domain Services managed domain to a different directory. Daha fazla bilgi için bkz. Azure Active Directory (ad) etki alanı Hizmetleri hakkında sık sorulan sorular (SSS)For more information, see Frequently asked questions (FAQs) about Azure Active Directory (AD) Domain Services
Uygulama kayıtlarıApp registrations YesYes YesYes

Uyarı

Aktarılmakta olan abonelikte aynı abonelikte olmayan bir anahtar kasasına bağımlılığı olan bir depolama HESABı veya SQL veritabanı gibi bir kaynak için geri kalan şifrelemeyi kullanıyorsanız kurtarılamaz bir senaryoya yol açabilir.If you are using encryption at rest for a resource, such as a storage account or SQL database, that has a dependency on a key vault that is not in the same subscription that is being transferred, it can lead to an unrecoverable scenario. Bu durumda, başka bir anahtar kasası kullanmak veya bu kurtarılamaz senaryoyu önlemek için müşteri tarafından yönetilen anahtarları geçici olarak devre dışı bırakmak için gerekli adımları uygulamanız gerekir.If you have this situation, you should take steps to use a different key vault or temporarily disable customer-managed keys to avoid this unrecoverable scenario.

ÖnkoşullarPrerequisites

Bu adımları tamamlayabilmeniz için şunlar gerekir:To complete these steps, you will need:

1. Adım: aktarım için hazırlanmaStep 1: Prepare for the transfer

Kaynak dizinde oturum açınSign in to source directory

  1. Azure 'da yönetici olarak oturum açın.Sign in to Azure as an administrator.

  2. Az Account List komutuyla aboneliklerinizin bir listesini alın.Get a list of your subscriptions with the az account list command.

    az account list --output table
    
  3. Aktarmak istediğiniz etkin aboneliği ayarlamak için az Account set kullanın.Use az account set to set the active subscription you want to transfer.

    az account set --subscription "Marketing"
    

Azure Kaynak Grafiği uzantısını yüklerInstall the Azure Resource Graph extension

Azure Kaynak GrafiğiIÇIN Azure CLI uzantısı kaynak grafiği, Azure Resource Manager tarafından yönetilen kaynakları sorgulamak için az Graph komutunu kullanmanıza olanak sağlar.The Azure CLI extension for Azure Resource Graph, resource-graph, enables you to use the az graph command to query resources managed by Azure Resource Manager. Sonraki adımlarda bu komutu kullanacaksınız.You'll use this command in later steps.

  1. Kaynak grafik uzantısının yüklenip yüklenmediğini görmek için az Extension List kullanın.Use az extension list to see if you have the resource-graph extension installed.

    az extension list
    
  2. Aksi takdirde, kaynak grafik uzantısını yükler.If not, install the resource-graph extension.

    az extension add --name resource-graph
    

Tüm rol atamalarını KaydetSave all role assignments

  1. Tüm rol atamalarını (devralınan rol atamaları dahil) listelemek için az role atama listesini kullanın.Use az role assignment list to list all the role assignments (including inherited role assignments).

    Listeyi gözden geçirmeyi kolaylaştırmak için çıktıyı JSON, TSV veya tablo olarak dışarı aktarabilirsiniz.To make it easier to review the list, you can export the output as JSON, TSV, or a table. Daha fazla bilgi için bkz. Azure RBAC ve Azure CLI kullanarak rol atamalarını listeleme.For more information, see List role assignments using Azure RBAC and Azure CLI.

    az role assignment list --all --include-inherited --output json > roleassignments.json
    az role assignment list --all --include-inherited --output tsv > roleassignments.tsv
    az role assignment list --all --include-inherited --output table > roleassignments.txt
    
  2. Rol atamalarının listesini kaydedin.Save the list of role assignments.

    Bir aboneliği aktardığınızda, tüm rol atamaları kalıcı olarak silinir, böylece bir kopya kaydetmeniz önemlidir.When you transfer a subscription, all of the role assignments are permanently deleted so it is important to save a copy.

  3. Rol atamalarının listesini gözden geçirin.Review the list of role assignments. Hedef dizinde ihtiyacınız olmayacak rol atamaları olabilir.There might be role assignments you won't need in the target directory.

Özel rolleri KaydetSave custom roles

  1. Özel rollerinizi listelemek için az role Definition listesini kullanın.Use the az role definition list to list your custom roles. Daha fazla bilgi için bkz. Azure CLI kullanarak Azure özel rolleri oluşturma veya güncelleştirme.For more information, see Create or update Azure custom roles using Azure CLI.

    az role definition list --custom-role-only true --output json --query '[].{roleName:roleName, roleType:roleType}'
    
  2. Hedef dizinde gerekli olacak her bir özel rolü ayrı bir JSON dosyası olarak kaydedin.Save each custom role that you will need in the target directory as a separate JSON file.

    az role definition list --name <custom_role_name> > customrolename.json
    
  3. Özel rol dosyalarının kopyalarını oluşturun.Make copies of the custom role files.

  4. Her kopyayı aşağıdaki biçimi kullanacak şekilde değiştirin.Modify each copy to use the following format.

    Bu dosyaları daha sonra hedef dizindeki özel rolleri yeniden oluşturmak için kullanacaksınız.You'll use these files later to re-create the custom roles in the target directory.

    {
      "Name": "",
      "Description": "",
      "Actions": [],
      "NotActions": [],
      "DataActions": [],
      "NotDataActions": [],
      "AssignableScopes": []
    }
    

Kullanıcı, Grup ve hizmet sorumlusu eşlemelerini belirlemeDetermine user, group, and service principal mappings

  1. Rol atamalarınızın listesine göre, hedef dizinde eşlenecek kullanıcıları, grupları ve hizmet sorumlularını saptayın.Based on your list of role assignments, determine the users, groups, and service principals you will map to in the target directory.

    principalTypeHer rol atamasında özelliğine bakarak asıl türünü belirleyebilirsiniz.You can identify the type of principal by looking at the principalType property in each role assignment.

  2. Gerekirse, hedef dizinde, ihtiyacınız olacak tüm kullanıcıları, grupları veya hizmet sorumlularını oluşturun.If necessary, in the target directory, create any users, groups, or service principals you will need.

Yönetilen kimlikler için rol atamalarını listeleyinList role assignments for managed identities

Yönetilen kimlikler, bir abonelik başka bir dizine aktarıldığında güncellenmez.Managed identities do not get updated when a subscription is transferred to another directory. Sonuç olarak, sistem tarafından atanan mevcut veya Kullanıcı tarafından atanan Yönetilen kimlikler bozulur.As a result, any existing system-assigned or user-assigned managed identities will be broken. Aktarımdan sonra, sistem tarafından atanan yönetilen kimlikleri yeniden etkinleştirebilirsiniz.After the transfer, you can re-enable any system-assigned managed identities. Kullanıcı tarafından atanan Yönetilen kimlikler için, bunları hedef dizinde yeniden oluşturmanız ve bağlamanız gerekir.For user-assigned managed identities, you will have to re-create and attach them in the target directory.

  1. Yönetilen kimlikleri destekleyen Azure hizmetlerinin listesini gözden geçirin ve yönetilen kimlikleri nerede kullanabileceğinizi aklınızda bulabilirsiniz.Review the list of Azure services that support managed identities to note where you might be using managed identities.

  2. Sistem tarafından atanan ve Kullanıcı tarafından atanan yönetilen kimliklerinizi listelemek için az ad SP listesini kullanın.Use az ad sp list to list your system-assigned and user-assigned managed identities.

    az ad sp list --all --filter "servicePrincipalType eq 'ManagedIdentity'"
    
  3. Yönetilen kimlikler listesinde, hangisinin sistem tarafından atandığını ve Kullanıcı tarafından atandığını saptayın.In the list of managed identities, determine which are system-assigned and which are user-assigned. Türü öğrenmek için aşağıdaki ölçütleri kullanabilirsiniz.You can use the following criteria to determine the type.

    ÖlçütlerCriteria Yönetilen kimlik türüManaged identity type
    alternativeNames özellik eklemeleri isExplicit=FalsealternativeNames property includes isExplicit=False Sistem tarafından atananSystem-assigned
    alternativeNames Özellik şunu içermez isExplicitalternativeNames property does not include isExplicit Sistem tarafından atananSystem-assigned
    alternativeNames özellik eklemeleri isExplicit=TruealternativeNames property includes isExplicit=True Kullanıcı tarafından atananUser-assigned

    Yalnızca Kullanıcı tarafından atanan yönetilen kimlikleri listelemek için az Identity List ' i de kullanabilirsiniz.You can also use az identity list to just list user-assigned managed identities. Daha fazla bilgi için bkz. Azure CLI kullanarak Kullanıcı tarafından atanan yönetilen kimlik oluşturma, listeleme veya silme.For more information, see Create, list, or delete a user-assigned managed identity using the Azure CLI.

    az identity list
    
  4. objectIdYönetilen kimliklerinizin değerlerinin listesini alın.Get a list of the objectId values for your managed identities.

  5. Yönetilen kimlikleriniz için herhangi bir rol ataması olup olmadığını görmek için rol atamaları listenizde arama yapın.Search your list of role assignments to see if there are any role assignments for your managed identities.

Anahtar kasalarını ListeleList key vaults

Bir Anahtar Kasası oluşturduğunuzda, otomatik olarak oluşturulduğu aboneliğin varsayılan Azure Active Directory kiracı KIMLIĞINE bağlanır.When you create a key vault, it is automatically tied to the default Azure Active Directory tenant ID for the subscription in which it is created. Tüm erişim ilkesi girdileri de bu kiracı kimliğine bağlanır.All access policy entries are also tied to this tenant ID. Daha fazla bilgi için bkz. Azure Key Vault başka bir aboneliğe taşıma.For more information, see Moving an Azure Key Vault to another subscription.

Uyarı

Aktarılmakta olan abonelikte aynı abonelikte olmayan bir anahtar kasasına bağımlılığı olan bir depolama HESABı veya SQL veritabanı gibi bir kaynak için geri kalan şifrelemeyi kullanıyorsanız kurtarılamaz bir senaryoya yol açabilir.If you are using encryption at rest for a resource, such as a storage account or SQL database, that has a dependency on a key vault that is not in the same subscription that is being transferred, it can lead to an unrecoverable scenario. Bu durumda, başka bir anahtar kasası kullanmak veya bu kurtarılamaz senaryoyu önlemek için müşteri tarafından yönetilen anahtarları geçici olarak devre dışı bırakmak için gerekli adımları uygulamanız gerekir.If you have this situation, you should take steps to use a different key vault or temporarily disable customer-managed keys to avoid this unrecoverable scenario.

Azure AD kimlik doğrulamasıyla Azure SQL veritabanlarını listelemeList Azure SQL databases with Azure AD authentication

ACL 'Leri listelemeList ACLs

  1. Azure Data Lake Storage 1. kullanıyorsanız, herhangi bir dosyaya uygulanan ACL 'Leri Azure portal veya PowerShell kullanarak listeleyin.If you are using Azure Data Lake Storage Gen1, list the ACLs that are applied to any file by using the Azure portal or PowerShell.

  2. Azure Data Lake Storage 2. kullanıyorsanız, herhangi bir dosyaya uygulanan ACL 'Leri Azure portal veya PowerShell kullanarak listeleyin.If you are using Azure Data Lake Storage Gen2, list the ACLs that are applied to any file by using the Azure portal or PowerShell.

  3. Azure dosyaları kullanıyorsanız, herhangi bir dosyaya uygulanan ACL 'Leri listeleyin.If you are using Azure Files, list the ACLs that are applied to any file.

Diğer bilinen kaynakları listelemeList other known resources

  1. Abonelik KIMLIĞINIZI almak için az Account Show kullanın.Use az account show to get your subscription ID.

    subscriptionId=$(az account show --query id | sed -e 's/^"//' -e 's/"$//')
    
  2. Diğer Azure kaynaklarını bilinen Azure AD dizin bağımlılıklarıyla listelemek için az Graph uzantısını kullanın.Use the az graph extension to list other Azure resources with known Azure AD directory dependencies.

    az graph query -q \
    'resources | where type != "microsoft.azureactivedirectory/b2cdirectories" | where  identity <> "" or properties.tenantId <> "" or properties.encryptionSettingsCollection.enabled == true | project name, type, kind, identity, tenantId, properties.tenantId' \
    --subscriptions $subscriptionId --output table
    

2. Adım: aboneliği aktarmaStep 2: Transfer the subscription

Bu adımda, aboneliği Kaynak dizinden hedef dizine aktarırsınız.In this step, you transfer the subscription from the source directory to the target directory. Bu adımlar, faturalandırma sahipliğini de aktarmak istediğinize bağlı olarak farklılık belirtir.The steps will be different depending on whether you want to also transfer the billing ownership.

Uyarı

Aboneliği aktardığınızda, kaynak dizindeki tüm rol atamaları kalıcı olarak silinir ve geri yüklenemez.When you transfer the subscription, all role assignments in the source directory are permanently deleted and cannot be restored. Aboneliği aktardıktan sonra geri dönemezsiniz.You cannot go back once you transfer the subscription. Bu adımı gerçekleştirmeden önce önceki adımları tamamladığınızdan emin olun.Be sure you complete the previous steps before performing this step.

  1. Aynı zamanda faturalandırma sahipliğini başka bir hesaba aktarmak isteyip istemediğinizi belirleme.Determine whether you want to also transfer the billing ownership to another account.

  2. Aboneliği farklı bir dizine aktarın.Transfer the subscription to a different directory.

  3. Aboneliği aktarmayı tamamladıktan sonra, hedef dizindeki kaynakları yeniden oluşturmak için bu makaleye geri dönün.Once you finish transferring the subscription, return back to this article to re-create the resources in the target directory.

3. Adım: kaynakları yeniden oluşturmaStep 3: Re-create resources

Hedef dizinde oturum açınSign in to target directory

  1. Hedef dizinde, aktarım isteğini kabul eden kullanıcı olarak oturum açın.In the target directory, sign in as the user that accepted the transfer request.

    Yalnızca, aktarım isteğini kabul eden yeni hesaptaki Kullanıcı, kaynakları yönetmek için erişime sahip olur.Only the user in the new account who accepted the transfer request will have access to manage the resources.

  2. Az Account List komutuyla aboneliklerinizin bir listesini alın.Get a list of your subscriptions with the az account list command.

    az account list --output table
    
  3. Kullanmak istediğiniz etkin aboneliği ayarlamak için az Account set kullanın.Use az account set to set the active subscription you want to use.

    az account set --subscription "Contoso"
    

Özel roller oluşturmaCreate custom roles

Rolleri atamaAssign roles

Sistem tarafından atanan yönetilen kimlikleri güncelleştirmeUpdate system-assigned managed identities

  1. Sistem tarafından atanan yönetilen kimlikleri devre dışı bırakın ve yeniden etkinleştirin.Disable and re-enable system-assigned managed identities.

    Azure hizmetiAzure service Daha fazla bilgiMore information
    Sanal makinelerVirtual machines Azure CLı kullanarak Azure VM 'de Azure kaynakları için Yönetilen kimlikler yapılandırmaConfigure managed identities for Azure resources on an Azure VM using Azure CLI
    Sanal makine ölçek kümeleriVirtual machine scale sets Azure CLı kullanarak bir sanal makine ölçek kümesindeki Azure kaynakları için Yönetilen kimlikler yapılandırmaConfigure managed identities for Azure resources on a virtual machine scale set using Azure CLI
    Diğer hizmetlerOther services Azure kaynakları için yönetilen kimlikleri destekleyen hizmetlerServices that support managed identities for Azure resources
  2. Rolleri sistem tarafından atanan yönetilen kimliklere atamak için az role atama Create kullanın.Use az role assignment create to assign roles to system-assigned managed identities. Daha fazla bilgi için bkz. Azure CLI kullanarak bir kaynağa yönetilen kimlik erişimi atama.For more information, see Assign a managed identity access to a resource using Azure CLI.

    az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope <scope>
    

Kullanıcı tarafından atanan yönetilen kimlikleri GüncelleştirUpdate user-assigned managed identities

  1. Kullanıcı tarafından atanan yönetilen kimlikleri silin, yeniden oluşturun ve ekleyin.Delete, re-create, and attach user-assigned managed identities.

    Azure hizmetiAzure service Daha fazla bilgiMore information
    Sanal makinelerVirtual machines Azure CLı kullanarak Azure VM 'de Azure kaynakları için Yönetilen kimlikler yapılandırmaConfigure managed identities for Azure resources on an Azure VM using Azure CLI
    Sanal makine ölçek kümeleriVirtual machine scale sets Azure CLı kullanarak bir sanal makine ölçek kümesindeki Azure kaynakları için Yönetilen kimlikler yapılandırmaConfigure managed identities for Azure resources on a virtual machine scale set using Azure CLI
    Diğer hizmetlerOther services Azure kaynakları için yönetilen kimlikleri destekleyen hizmetlerServices that support managed identities for Azure resources
    Azure CLı kullanarak Kullanıcı tarafından atanan yönetilen kimlik oluşturma, listeleme veya silmeCreate, list, or delete a user-assigned managed identity using the Azure CLI
  2. Kullanıcı tarafından atanan yönetilen kimliklere roller atamak için az role atama oluştur kullanın.Use az role assignment create to assign roles to user-assigned managed identities. Daha fazla bilgi için bkz. Azure CLI kullanarak bir kaynağa yönetilen kimlik erişimi atama.For more information, see Assign a managed identity access to a resource using Azure CLI.

    az role assignment create --assignee <objectid> --role '<role_name_or_id>' --scope <scope>
    

Anahtar kasalarını GüncelleştirUpdate key vaults

Bu bölümde, anahtar kasalarınızı güncelleştirmek için temel adımlar açıklanmaktadır.This section describes the basic steps to update your key vaults. Daha fazla bilgi için bkz. Azure Key Vault başka bir aboneliğe taşıma.For more information, see Moving an Azure Key Vault to another subscription.

  1. Abonelikteki tüm mevcut anahtar kasaları ile ilişkili kiracı KIMLIĞINI hedef dizine güncelleştirin.Update the tenant ID associated with all existing key vaults in the subscription to the target directory.

  2. Mevcut tüm erişim ilkesi girdilerini kaldırın.Remove all existing access policy entries.

  3. Hedef dizinle ilişkili yeni erişim ilkesi girdileri ekleyin.Add new access policy entries associated with the target directory.

ACL 'Leri GüncelleştirUpdate ACLs

  1. Azure Data Lake Storage 1. kullanıyorsanız, uygun ACL 'Leri atayın.If you are using Azure Data Lake Storage Gen1, assign the appropriate ACLs. Daha fazla bilgi için bkz. Azure Data Lake Storage 1. depolanan verileri güvenli hale getirme.For more information, see Securing data stored in Azure Data Lake Storage Gen1.

  2. Azure Data Lake Storage 2. kullanıyorsanız, uygun ACL 'Leri atayın.If you are using Azure Data Lake Storage Gen2, assign the appropriate ACLs. Daha fazla bilgi için bkz. Azure Data Lake Storage 2. Nesil'de erişim denetimi.For more information, see Access control in Azure Data Lake Storage Gen2.

  3. Azure dosyaları kullanıyorsanız, uygun ACL 'Leri atayın.If you are using Azure Files, assign the appropriate ACLs.

Diğer güvenlik yöntemlerini gözden geçirmeReview other security methods

Aktarım sırasında rol atamaları kaldırılsa da, özgün sahip hesabındaki kullanıcılar şu gibi diğer güvenlik yöntemleriyle aboneliğe erişime sahip olmaya devam edebilir:Even though role assignments are removed during the transfer, users in the original owner account might continue to have access to the subscription through other security methods, including:

  • Depolama gibi hizmetler için erişim anahtarları.Access keys for services like Storage.
  • Kullanıcı yöneticisine abonelik kaynaklarına erişim izni veren yönetim sertifikaları .Management certificates that grant the user administrator access to subscription resources.
  • Azure Sanal Makineleri gibi hizmetler için Uzaktan Erişim kimlik bilgileri.Remote Access credentials for services like Azure Virtual Machines.

Amaç, hedef dizinde erişimleri olmaması için kaynak dizindeki kullanıcılardan erişimi kaldırmak istiyorsanız, herhangi bir kimlik bilgisi döndürmeyi göz önünde bulundurmanız gerekir.If your intent is to remove access from users in the source directory so that they don't have access in the target directory, you should consider rotating any credentials. Kimlik bilgileri güncelleştirilene kadar, kullanıcılar aktarımdan sonra erişime sahip olmaya devam edecektir.Until the credentials are updated, users will continue to have access after the transfer.

  1. Depolama hesabı erişim anahtarlarını döndürün.Rotate storage account access keys. Daha fazla bilgi için bkz. depolama hesabı erişim anahtarlarını yönetme.For more information, see Manage storage account access keys.

  2. Azure SQL veritabanı veya Azure Service Bus mesajlaşma gibi diğer hizmetler için erişim anahtarları kullanıyorsanız, erişim anahtarlarını döndürün.If you are using access keys for other services such as Azure SQL Database or Azure Service Bus Messaging, rotate access keys.

  3. Gizli dizileri kullanan kaynaklar için, kaynak ayarlarını açın ve parolayı güncelleştirin.For resources that use secrets, open the settings for the resource and update the secret.

  4. Sertifikaları kullanan kaynaklar için sertifikayı güncelleştirin.For resources that use certificates, update the certificate.

Sonraki adımlarNext steps