Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Viele Organisationen verfügen über einen vorhandenen Azure-Footprint, ein oder mehrere Abonnements und potenziell eine vorhandene Verwaltungsgruppenstruktur. Je nach ihren Geschäftlichen Anforderungen und Szenarien werden möglicherweise Azure-Ressourcen bereitgestellt, z. B. Azure VPN-Gateway oder Azure ExpressRoute für hybride Konnektivität.
Dieser Artikel enthält Empfehlungen, die Ihrer Organisation helfen sollen, Änderungen basierend auf Ihrer vorhandenen Azure-Umgebung zu navigieren, die auf die Referenzarchitektur der Azure-Zielzone umgestellt wird. In diesem Artikel werden auch Überlegungen zum Verschieben von Ressourcen in Azure beschrieben, z. B. das Verschieben eines Abonnements von einer vorhandenen Verwaltungsgruppe in eine andere Verwaltungsgruppe. Berücksichtigen Sie diese Empfehlungen, um Ihnen bei der Bewertung und Planung des Übergangs Ihrer vorhandenen Azure-Umgebung zu helfen.
Verschieben von Ressourcen in Azure
Sie können einige Ressourcen nach der Erstellung in Azure verschieben. Es gibt unterschiedliche Ansätze, die den Azure-Berechtigungen für die rollenbasierte Zugriffssteuerung (RBAC) eines Benutzers in und über Bereiche hinweg abhängen. In der folgenden Tabelle wird beschrieben, welche Ressourcen Sie verschieben können, zu welchem Bereich und welche Vor- und Nachteile den einzelnen Ressourcen zugeordnet sind.
| Umfang | Bestimmungsort | Vorteil | Nachteil |
|---|---|---|---|
| Ressourcen in Ressourcengruppen. | Sie können zu einer neuen Ressourcengruppe im selben oder anderen Abonnement wechseln. | Sie können die Ressourcenkomposition in einer Ressourcengruppe nach der Bereitstellung ändern. | Wird von allen resourceTypes nicht unterstützt. Einige resourceTypes weisen bestimmte Einschränkungen oder Anforderungen auf. ResourceIds werden aktualisiert, und dies wirkt sich auf die vorhandene Überwachung, auf Warnungen und Vorgänge auf der Steuerungsebene aus. Ressourcengruppen sind während der Dauer der Verschiebung gesperrt. Erfordert eine Bewertung von Richtlinien und von RBAC für Vorgänge vor und nach dem Verschieben. |
| Abonnements in einem Mandanten. | Sie können zu verschiedenen Verwaltungsgruppen wechseln. | Keine Auswirkung auf vorhandene Ressourcen innerhalb des Abonnements, da sich die Ressourcen-ID-Werte nicht ändern. | Erfordert eine Bewertung von Richtlinien und von RBAC für Vorgänge vor und nach dem Verschieben. |
Um zu bestimmen, welche Verschiebungsstrategie Sie verwenden sollten, berücksichtigen Sie die folgenden Beispiele.
Verschieben von Abonnements
In der Regel verschieben Sie Abonnements, um sie in Verwaltungsgruppen zu organisieren oder Abonnements an einen neuen Microsoft Entra ID-Mandanten zu übertragen. Das Verschieben eines Abonnements auf einen neuen Mandanten dient hauptsächlich der Übertragung des Abrechnungsbesitzes. Weitere Informationen zum Verschieben von Abonnements über Verwaltungsgruppen im selben Mandanten finden Sie unter Verschieben von Verwaltungsgruppen und Abonnements.
Azure RBAC-Anforderungen
Um ein Abonnement vor einer Verschiebung zu bewerten, ist es wichtig, dass der Benutzer über das entsprechende Azure RBAC verfügt. Der Benutzer ist möglicherweise Besitzer des Abonnements (direkte Rollenzuweisung) und verfügt über Schreibberechtigungen für die Zielverwaltungsgruppe. Integrierte Rollen, die Schreibberechtigungen für die Zielverwaltungsgruppe unterstützen, sind die Rollen „Besitzer“, „Mitwirkender“ und die „Mitwirkender der Verwaltungsgruppe“.
Wenn der Benutzer über eine geerbte Besitzerrollenberechtigung für das Abonnement aus einer vorhandenen Verwaltungsgruppe verfügt, können Sie das Abonnement nur in die Verwaltungsgruppe verschieben, in der der Benutzer die Besitzerrolle zugewiesen ist.
Politik
Vorhandene Abonnements unterliegen möglicherweise Azure-Richtlinien, die direkt oder an der Verwaltungsgruppe zugewiesen sind, in der sie sich derzeit befinden. Es ist wichtig, aktuelle Richtlinien und die Richtlinien zu bewerten, die in der neuen Verwaltungsgruppe oder in der Verwaltungsgruppenhierarchie vorhanden sein können.
Sie können Azure Resource Graph verwenden, um eine Bestandsaufnahme vorhandener Ressourcen durchzuführen und ihre Konfiguration mit den Richtlinien zu vergleichen, die am Ziel vorhanden sind.
Nachdem Sie Abonnements in eine Verwaltungsgruppe mit vorhandenen Azure RBAC und Richtlinien verschoben haben, sollten Sie die folgenden Faktoren berücksichtigen:
Für alle Azure RBAC, die an die verschobenen Abonnements geerbt werden, kann es bis zu 30 Minuten dauern, bis die Benutzertoken im Verwaltungsgruppencache aktualisiert werden. Um diesen Vorgang zu beschleunigen, können Sie das Token aktualisieren, indem Sie sich abmelden und ein neues Token anfordern.
Eine Richtlinie, in der der Zuordnungsbereich die verschobenen Abonnements enthält, führt nur für die vorhandenen Ressourcen eine Überwachung durch. Eine vorhandene Ressource im Abonnement, die Folgendem unterliegt:
Ein
DeployIfNotExists-Richtlinieneffekt erscheint als nicht konform und wird nicht automatisch behoben. Ein Benutzer muss die Korrektur manuell durchführen.Der
Deny-Richtlinieneffekt erscheint als nicht konform und wird nicht abgelehnt. Ein Benutzer muss dieses Ergebnis entsprechend manuell mindern.Der
Append- undModify-Richtlinieneffekt erscheint als nicht konform und erfordert, dass ein Benutzer die Korrektur durchführt.Der
Audit- undAuditIfNotExist-Richtlinieneffekt erscheint als nicht konform und erfordert, dass ein Benutzer die Korrektur durchführt.
Alle neuen Schreibvorgänge in Ressourcen im verschobenen Abonnement unterliegen den zugewiesenen Richtlinien in Echtzeit wie normal.
Verschieben von Ressourcen
In der Regel verschieben Sie Ressourcen, wenn Sie Ressourcen in derselben Ressourcengruppe konsolidieren möchten, wenn sie denselben Lebenszyklus aufweisen. Oder wenn Sie Ressourcen aufgrund von Kosten, Besitz oder Azure RBAC-Anforderungen in ein anderes Abonnement verschieben möchten.
Wenn Sie Ressourcen verschieben, werden die Quellressourcengruppe und die Zielressourcengruppe während des Verschiebungsvorgangs gesperrt. Sie können in den Ressourcengruppen keine Ressourcen hinzufügen, aktualisieren oder löschen. Ein Ressourcenverschiebungsvorgang ändert nicht den Speicherort der Ressourcen.
Weitere Informationen zum Verschieben von Ressourcengruppen und Abonnements im selben Mandanten finden Sie unter Verschieben von Ressourcen in eine neue Ressourcengruppe oder ein neues Abonnement.
Tipp
Um die Auswirkungen regionaler Ausfälle zu minimieren, empfiehlt es sich, Ressourcen in derselben Region wie die Ressourcengruppe zu platzieren. Weitere Informationen finden Sie unter Ausrichtung des Standorts der Ressourcengruppe.
Wenn Sie Ressourcen in verschiedenen Regionen innerhalb derselben Ressourcengruppe haben, ziehen Sie in Betracht, Ihre Ressourcen in eine neue Ressourcengruppe oder ein neues Abonnement zu verschieben.
Um festzustellen, ob Ihre Ressource das Verschieben in eine andere Ressourcengruppe unterstützt, inventarisieren Sie Ihre Ressourcen, indem Sie sie querverweisen. Stellen Sie sicher, dass Sie die entsprechenden Voraussetzungen erfüllen.
Bevor Sie Ressourcen verschieben
Vor einem Verschiebungsvorgang müssen Sie überprüfen, ob die Ressourcen unterstützt werden, und ihre Anforderungen und Abhängigkeiten bewerten. Wenn Sie z. B. ein virtuelles Peered-Netzwerk verschieben, müssen Sie zuerst virtuelles Netzwerk-Peering deaktivieren und peering nach Abschluss des Verschiebungsvorgangs erneut aktivieren. Planen Sie im Voraus die Deaktivierung und erneute Aktivierung der Abhängigkeit, damit Sie die Auswirkungen auf vorhandene Workloads verstehen, die möglicherweise mit Ihren virtuellen Netzwerken verbunden sind.
Nach dem Verschieben von Ressourcen
Wenn Sie die Ressourcen in eine neue Ressourcengruppe im selben Abonnement verschieben, gelten weiterhin alle geerbten Azure RBAC und Richtlinien aus der Verwaltungsgruppe oder dem Abonnement. Dies gilt auch, wenn Sie zu einer Ressourcengruppe in einem neuen Abonnement wechseln, in dem das Abonnement möglicherweise einer anderen Azure RBAC- und Richtlinienzuweisung unterliegt. Sie müssen die Ressourcencompliance und Zugriffskontrollen überprüfen.
Szenarien
In den folgenden Szenarien wird beschrieben, wie Eine vorhandene Umgebung in die Referenzarchitektur der Azure-Zielzone migriert und umgestellt wird.
Ausrichtungsszenarien
Ausrichtungsansätze