Freigeben über

Vorbereiten von Azure-Konten für Azure Migrate mithilfe integrierter Rollen

Azure Migrate ist eine einheitliche Migrationsplattform, mit der Kunden verschiedene Workloads wie Server, Datenbanken und Web-Apps ermitteln, bewerten und migrieren können. Eine typische Migrationsreise des Kunden umfasst drei Phasen: die Entscheidungsphase zum Ermitteln der Workloads, die Planungsphase zur Bewertung der Azure-Bereitschaft von Workloads, die richtige Größe der Azure-Ziele und die Ausführungsphase zum Migrieren und Modernisieren der Workloads. In diesem Artikel wird erläutert, wie Sie die Azure-Rollenbasierte Zugriffssteuerung implementieren, um den geringsten privilegierten Azure-Zugriff in Azure Migrate mit integrierten Rollen zu gewähren. Die integrierten Rollen werden absichtlich den Phasen "Entscheiden", "Planen" und "Ausführen" zugeordnet, sodass Benutzer nur über die berechtigungen verfügen, die für diese Phase der Migrationsreise erforderlich sind.

Mit integrierten Rollen können Sie das Prinzip der geringsten Berechtigungen erzwingen, präzisen Zugriff gewähren und die Einhaltung gesetzlicher Vorschriften sicherstellen. Es wird empfohlen, integrierte Rollen zuzuweisen, anstatt Benutzern auf Abonnement- oder Ressourcengruppenebene einen umfassenden Besitzer- oder Mitwirkendenzugriff zu gewähren.

Integrierte Azure Migrate-Rollen

S.no. Integrierte Rolle Description ID Geltungsbereich
1 Azure Migrate-Besitzer Gewährt vollzugriff aufdas Erstellen und Verwalten von Azure Migrate-Projekten, einschließlich Appliance oder Import based Discovery, Erstellung von Geschäftsfällen, Bewertung und Ausführung von Migrationen; Gewährt außerdem die Möglichkeit, Azure Migrate-spezifische Rollen in Azure Role-Based Zugriffssteuerung (oder RBAC) zuzuweisen. fd8ea4d5-6509-4db0-bada-356ab233b4fa Der Bereich ist die Ressourcengruppe oder das Abonnement, in der bzw. dem das Azure Migrate-Projekt erstellt wird.
2 Azure Migrate – Entscheidungs- und Planexperte Gewährt eingeschränkten Zugriff auf ein Azure Migrate-Projekt, um nur Planungsvorgänge auszuführen, einschließlich Appliance- oder importbasierter Erkennung, Bestandsverwaltung, Ermittlung von Serverabhängigkeiten, Erstellung von Business Cases, Anwendungen und Bewertungsberichten. 7859c0b0-0bb9-4994-bd12-cd529af7d646 Der Bereich ist die Ressourcengruppe oder das Abonnement, in der bzw. dem das Azure Migrate-Projekt erstellt wird.
3 Azure Migrate- Ausführungsexperte Gewährt eingeschränkten Zugriff auf ein Azure Migrate-Projekt , um nur migrationsbezogene Vorgänge auszuführen, einschließlich Replikation, Ausführung von Testmigrationen, Nachverfolgung und Überwachung des Migrationsfortschritts sowie Initiierung von agentlosen und agentbasierten Migrationen. 1cfa4eac-9a23-481c-a793-bfb6958e836b Quellressourcengruppe oder -abonnement, in der Azure Migrate-Projekt erstellt wird; Zielressourcengruppe oder -abonnement , zu der Server und Workloads migriert werden.

Azure Migrate-Besitzer

Die Azure Migrate-Besitzerrolle bietet eine Obermenge von Berechtigungen zum Ausführen von End-to-End-Vorgängen in allen Migrationsphasen (Entscheiden, Planen und Ausführen). Ein Benutzer muss Teil des Azure Migrate-Besitzers oder einer höheren privilegierten Rolle sein, um ein Azure Migrate-Projekt zu erstellen.

Geltungsbereich

Die Ressourcengruppe oder das Abonnement, in der das Azure Migrate-Projekt erstellt wird.

Rollenzuweisung

Benutzer mit der Azure Migrate-Besitzerrolle können die Rollen "Azure Migrate Entscheiden und Planen von Experten" und "Azure Migrate Ausführen von Experten" für andere Benutzer oder Gruppen zuweisen oder entfernen. Die Rolle gewährt keine Berechtigungen zum Zuweisen oder Entfernen von nicht in Azure Migrate integrierten Rollen.

Azure Migrate – Entscheidungs- und Planexperte

Die Azure Migrate-Rolle "Entscheidungs- und Planexperte" bietet eingeschränkte Berechtigungen zum Ausführen von bereichsbezogenen Vorgängen in den Phasen "Entscheiden und Planen". Die Rolle umfasst Berechtigungen zum Ermitteln von IT-Beständen mithilfe eines Appliance- oder Bestandsimports, zum Verwalten und Überprüfen des ermittelten Bestands, zum Identifizieren von Serverabhängigkeiten und zum Erstellen von Geschäftsfällen, Zyklen und Bewertungsberichten. Die Rolle gewährt keine Berechtigungen zum Erstellen eines Migrationsprojekts oder zum Durchführen von Rollenzuweisungen.

Geltungsbereich

Die Ressourcengruppe oder das Abonnement, in der das Azure Migrate-Projekt erstellt wird.

Azure Migrate- Ausführungsexperte

Die Azure Migrate Execute Expert-Rolle bietet eingeschränkte Berechtigungen, um nur bereichsbezogene Vorgänge in der Ausführungsphase der Migrationsreise auszuführen. Die Rolle umfasst Berechtigungen zum Ausführen von migrationsbezogenen Vorgängen, einschließlich Replikation, Ausführen von Wellen, Ausführen von Testmigrationen, Ausführen von agentlosen und agentbasierten Migrationen und Nachverfolgen und Überwachen des Fortschritts von Migrationen. Die Rolle gewährt keine Berechtigungen zum Erstellen eines Projekts oder zum Ausführen von Rollenzuweisungen.

Geltungsbereich

Die Quellressourcengruppe oder das Quellabonnement, in dem das Azure Migrate-Projekt eingerichtet ist. Wenn sich das Migrationsziel in einer anderen Ressourcengruppe oder einem anderen Abonnement befindet, weisen Sie die Rolle in der Zielressourcengruppe oder dem Abonnement zu, zu der die Server und Workloads migriert werden.

Pro Benutzerrolle zulässige Vorgänge

Operationen Azure Migrate-Besitzer Azure Migrate – Entscheidungs- und Planexperte Azure Migrate- Ausführungsexperte
Erstellen, Verwalten und Löschen eines Migrate-Projekts Yes Nein Nein
Projektschlüssel generieren Yes Yes Nein
Bereitstellen der VMware-, Hyper-V- oder Azure Site Recovery-Appliance oder der physischen Appliance für die Ermittlung Yes Yes Nein
Registrieren der Migrate-Appliance* Yes Yes Nein
Verwenden Sie den Bestandsimport zur Ermittlung Yes Yes Nein
Inventar erkunden Yes Yes Yes
Anzeigen, Hinzufügen und Importieren von Tags Yes Yes Yes
Anzeigen und Exportieren von Serverabhängigkeiten Yes Yes Yes
Anzeigen von Sicherheitserkenntnissen Yes Yes Nein
Geschäftsfall erstellen Yes Yes Nein
Anzeigen und Exportieren von Geschäftsfällen Yes Yes Yes
Erstellen von Bewertungsberichten Yes Yes Nein
Anzeigen und Exportieren von Bewertungsberichten Yes Yes Yes
Erstellen von Wellen Yes Yes Yes
Anzeigen und Verwalten von Wellen Yes Yes Yes
Ausführen von Wellen Yes Nein Yes
Ausführen von Replikationen Yes Nein Yes
Testen von Migrationen Yes Nein Yes
Durchführen von agentlosen und agentbasierten Migrationen Yes Nein Yes
Unterstützungsvorfälle erstellen Yes Yes Yes

Hinweis

Um eine Azure Migrate-Appliance oder eine ASR-Replikations-Appliance zu registrieren, müssen Benutzer zusätzliche Anwendungsentwicklerrolle auf Microsoft Entra-ID-Ebene haben.

Rollenzuweisung und Zugriffsverwaltung

In diesem Abschnitt erfahren Sie, wie Sie Benutzern Zugriff gewähren, indem Sie integrierte Azure Migrate-Rollen zuweisen. Ein Besitzer eines Abonnements oder einer Ressourcengruppe kann dem Benutzer, der das Azure Migrate-Projekt erstellt und verwaltet, die Azure Migrate-Besitzerrolle zuweisen. Benutzer mit der Azure Migrate-Eigentümerrolle können dann die Rollen "Azure Migrate Entscheidungs- und Planungs-Experte" und "Azure Migrate Ausführungs-Experte" anderen Benutzern oder Benutzergruppen zuweisen.

Zuweisen des Azure Migrate-Besitzers

  1. Wählen Sie die Ressourcengruppe aus, in der das Migrieren-Projekt erstellt wird.
  2. Wählen Sie im Navigationsmenü die Zugriffssteuerung (IAM) aus.
  3. Auswählen von „Hinzufügen“ > „Rollenzuweisung hinzufügen“ Seite „Zugriffssteuerung (IAM) im Azure-Portal mit der in einem roten Rechteck hervorgehobenen Schaltfläche „Rollenzuweisung hinzufügen“, mit Navigations-Breadcrumb mit den Optionen „Start“ > „Resource Manager“ > „Ressourcengruppen“ > „MigrateProjectName“.
  4. Wählen Sie auf der Registerkarte "Privilegierte Administratorrollen" die Rolle "Azure Migrate-Besitzer" aus.
  5. Wählen Sie auf der Registerkarte "Mitglieder" den Benutzer oder die Gruppe aus.
  6. Wählen Sie den bevorzugten Aufgabentyp und die Dauer aus. Der empfohlene Ansatz besteht darin, den berechtigten Typ und die zeitlich begrenzte Zuweisungsdauer auszuwählen.
  7. Wählen Sie „Weiter“ und dann „Überprüfen + zuweisen“ aus, um die Rollenzuweisung abzuschließen.

Zuweisen der Rolle "Entscheidungs- und Planexperte" und "Ausführexperte"

Ein Azure Migrate-Besitzer kann den Rollen Azure Migrate-Entscheidungs- und Planexperte undAzure Migrate Execute Expert einem Benutzer zuweisen.

  1. Wählen Sie die Ressourcengruppe aus, in der das Migrieren-Projekt eingerichtet ist.

  2. Wählen Sie im Navigationsmenü die Zugriffssteuerung (IAM) aus.

  3. Auswählen von „Hinzufügen“ > „Rollenzuweisung hinzufügen“

  4. Wählen Sie die Rolle aus, die Sie zuweisen möchten. Die Azure Migrate-Rolle für Fachkräfte für die Entscheidung und Planung und die Azure Migrate-Rolle für Fachkräfte für die Ausführung werden unter Stellenfunktionsrollen angezeigt. Seite „Rollenzuweisung hinzufügen“ im Azure-Portal mit der Registerkarte „Stellenfunktionsrollen“ mit der in einem roten Rechteck hervorgehobenen Azure Migrate-Rolle für Fachkräfte für die Entscheidung und Planung. Der Text gibt an, dass diese Rolle eingeschränkten Zugriff auf das Azure Migrate-Projekt gewährt, sodass nur Planungsvorgänge ausgeführt werden können, einschließlich Appliance- oder importbasierter Ermittlung, Bestandsverwaltung, Ermittlung von Serverabhängigkeiten, Erstellung von Geschäftsfällen und Bewertungsberichten. Seite „Rollenzuweisung hinzufügen“ im Azure-Portal mit der Registerkarte „Stellenfunktionsrollen“ mit der in einem roten Rechteck hervorgehobenen Azure Migrate-Rolle für Fachkräfte für die Ausführung. Der Text gibt an, dass diese Rolle eingeschränkten Zugriff auf das Azure Migrate-Projekt gewährt, sodass nur Vorgänge im Zusammenhang mit der Migration ausgeführt werden können, einschließlich Replikation, Ausführung einer Testmigration, Nachverfolgung und Überwachung des Migrationsstatus und Initiierung von Migrationen ohne und mit Agent.

  5. Nachdem Sie die Rolle ausgewählt haben, wählen Sie auf der Registerkarte "Mitglieder" den Benutzer oder die Gruppe aus.

  6. Wählen Sie den bevorzugten Aufgabentyp und die Dauer aus. Der empfohlene Ansatz besteht darin, den berechtigten Typ und die zeitlich begrenzte Zuweisungsdauer auszuwählen.

  7. Wählen Sie „Weiter“ und dann „Überprüfen + zuweisen“ aus, um die Rollenzuweisung abzuschließen.

Überprüfen des Zugriffs und Überprüfen der Rollenzuweisung

Führen Sie die folgenden Schritte aus, um Ihren Zugriff zu überprüfen.

  1. Wählen Sie in der Ressourcengruppe/dem Abonnement die Zugriffssteuerung (IAM) aus, und zeigen Sie meinen Zugriff an.
  2. Überprüfen Sie, ob die Rollenzuweisung erfolgreich ist. Azure Portal IAM-Schnittstelle zur Zugriffskontrolle mit dem Abschnitt
  3. Um den Zugriff für einen Benutzer oder eine Gruppe zu überprüfen, wählen Sie Zugriff überprüfen aus. Geben Sie die Benutzer- oder Gruppendetails ein, und überprüfen Sie die Rollenzuweisung.

Zugriff entfernen

  1. Azure Migrate-Besitzer können nur Zuweisungen der Azure Migrate-Rollen für Fachkräfte für die Entscheidung und Planung sowie für Fachkräfte für die Ausführung entfernen. Abonnement- oder Ressourcengruppenbesitzer können die Azure Migrate-Besitzerrollenzuweisung entfernen.
  2. Wechseln Sie im Geltungsbereich des Abonnements oder der Ressourcengruppe zu „Zugriffssteuerung (IAM)“.
  3. Auswählen von Rollenzuweisungen
  4. Wählen Sie die Rollenzuweisung aus, die Sie entfernen möchten. Seite „Zugriffssteuerung (IAM) im Azure-Portal mit der Tabelle der Rollenzuweisungen mit einer blau hervorgehobenen ausgewählten Benutzerzeile und der roten Schaltfläche „Löschen“, die deutlich auf der oberen Symbolleiste angezeigt wird. Dadurch wird der Prozess zum Entfernen von Rollenzuweisungen von Benutzern auf der Oberfläche für die Ressourcenverwaltung veranschaulicht.
  5. Wählen Sie "Löschen" aus, um die Rollenzuweisung zu entfernen.

Leitfaden für Rollenzuweisungen auf der Ressourcengruppenebene

Es wird empfohlen, Rollenzuweisungen in der Ressourcengruppe auszuführen, um in einem Modell mit dem geringsten Berechtigungszugriff zu arbeiten. Beachten Sie die folgenden Szenarien, wenn Rollenzuweisungen im Ressourcengruppenbereich durchgeführt werden.

1. Registrieren der Ressourcenanbieter im Voraus

Um alle Azure Migrate-Funktionen zu aktivieren, müssen Sie die erforderlichen Ressourcenanbieter für das Abonnement registrieren, in dem das Azure Migrate-Projekt erstellt wird. Die Rollen "Azure Migrate-Besitzer" und "Azure Migrate Entscheiden und Planen-Experte" verfügen über Berechtigungen zum automatischen Registrieren von Ressourcenanbietern, wenn die Rollenzuweisung im Abonnementbereich erfolgt. Wenn diese Rollen jedoch auf Ressourcengruppenebene zugewiesen sind, kann die Projektschlüsselgenerierung fehlschlagen, wenn der Ressourcenanbieter noch nicht im Abonnement registriert ist. In solchen Fällen sollte der Abonnementbesitzer die aufgelisteten Ressourcenanbieter manuell als Voraussetzung registrieren.

Erforderliche Ressourcenanbieter

Ressourcenanbieter
Microsoft.OffAzure
Microsoft.Migrate
Microsoft.MySQLDiscovery
Microsoft.DependencyMap
Microsoft.ApplicationMigration
Microsoft.Insights
Microsoft Key Vault
Microsoft.HybridCompute
Microsoft.Storage
Microsoft.Network
Microsoft.GuestConfiguration
Microsoft.Compute
Microsoft.HybridConnectivity
Microsoft.RecoveryServices
Microsoft.DataReplication
Microsoft.AzureArcData

Weitere Informationen finden Sie unter Registrieren des Ressourcenanbieters.

2. Supportanfragen

Wenn die Rollenzuweisung im Ressourcengruppenbereich erfolgt, können Benutzer keine Supportanfragen erstellen.

Registrierung der Azure Site Recovery-Replikations-Appliance

Wenn Sie die Rolle im Ressourcengruppenbereich zuweisen, können Benutzer die Azure Site Recovery-Replikationsappliance nicht registrieren. Um die Appliance zu registrieren, müssen Sie die Azure Migrate-Rolle für Fachkräfte für die Entscheidung und Planung im Abonnementbereich zuweisen. Diese Einschränkung gilt nur für die Azure Site Recovery-Appliance, nicht für die VMware-, Hyper-V- oder physischen Stapel der Azure Migrate-Appliance.

Nächste Schritte

Erstellen Sie nach dem Einrichten von Azure-Konten und Rollenzuweisungen ein Azure Migrate-Projekt

  • Last updated on