Désaffecter un système Azure Stack Hub

Cet article explique comment désactiver correctement un système Azure Stack Hub. Avant de récupérer le matériel système, suivez cette procédure pour vous assurer que les charges de travail client sont sécurisées, que les informations sensibles sont supprimées et que le système n’est pas inscrit auprès d’Azure.

Conditions préalables

Avant de commencer, vérifiez que les conditions préalables suivantes sont remplies :

• Vérifiez que toutes les charges de travail ont été supprimées du système avec les sauvegardes appropriées.
• Il n’est pas nécessaire d’arrêter ou de supprimer entièrement toutes les ressources (machines virtuelles, applications web, etc.) du système. Toutefois, vous pouvez arrêter ou supprimer ces ressources pour gérer l’utilisation et les coûts pendant le processus de désactivation.
• Une fois le système arrêté définitivement, aucune autre information d’utilisation n’est signalée.

Scénarios connectés (MICROSOFT Entra ID)

Procédez comme suit dans un environnement connecté (Microsoft Entra ID) :

1. Désactivez l’architecture mutualisée en supprimant les annuaires secondaires : Désinscrire un annuaire invité.

2. Vérifiez que tous les annuaires d’invités supplémentaires ont été supprimés : Récupérer le rapport d’intégrité des identités.

3. Supprimez les inscriptions de locataires pour la facturation de l’utilisation : Supprimer un mappage de locataires.

4. Supprimez l’enregistrement d’Azure Stack Hub et empêchez le transfert automatique des données d’utilisation vers la facturation Azure.

   1. Suivez les étapes de Register Azure Stack Hub pour importer le module RegisterWithAzure.psm1.
   2. Utilisez le script suivant pour supprimer la ressource d’inscription.

   # Select the subscription used during the registration (shown in portal) 
   Select-AzSubscription -Subscription '<Registration subscription ID from portal>' 
   
   # Unregister using the parameter values from portal 
   Remove-AzsRegistration -PrivilegedEndpointCredential $YourCloudAdminCredential -PrivilegedEndpoint $YourPrivilegedEndpoint -RegistrationName '<Registration name from portal>' -ResourceGroupName '<Registration resource group from portal>'
   

5. Supprimez les inscriptions d’applications Microsoft Entra pour Azure Stack Hub :

   1. connectez-vous à votre environnement Azure Stack avec Azure PowerShell.

   2. Dans la même instance PowerShell que l’étape précédente, exécutez le script suivant pour exporter une liste de tous les ID d’inscription d’application.

      $context = Get-AzContext
      if (!$context.Subscription){
      @"
      # Connect To Azure Stack Admin Azure Resource Manager endpoint first https://learn.microsoft.com/azure-stack/operator/azure-stack-powershell-configure-admin#connect-with-azure-ad
      "@ | Write-Host -ForegroundColor:Red
      }
      
      "Getting access token for tenant {0}" -f $context.Subscription.TenantID | Write-Host -ForegroundColor Green
      
      $azureRmProfile = [Microsoft.Azure.Commands.Common.Authentication.Abstractions.AzureRmProfileProvider]::Instance.Profile
      $profileClient = New-Object Microsoft.Azure.Commands.ResourceManager.Common.RMProfileClient($azureRmProfile)
      $newtoken = $profileClient.AcquireAccessToken($context.Subscription.TenantID)
      
      $armEndpoint = $context.Environment.ResourceManagerUrl
      $applicationRegistrationParams = @{
          Method  = [Microsoft.PowerShell.Commands.WebRequestMethod]::Get
          Headers = @{ Authorization = "Bearer " + $newtoken.AccessToken }
          Uri = "$($armEndpoint.ToString().TrimEnd('/'))/applicationRegistrations?api-version=2014-04-01-preview"
      }
      
      $applicationRegistrations = Invoke-RestMethod @applicationRegistrationParams | Select-Object -ExpandProperty value
      "[{0}] App Registrations were found for {1}" -f $applicationRegistrations.appId.Count, $context.Environment.Name | Write-Host -ForegroundColor Green
      $applicationRegistrations.appId | Write-Host
      

   3. Collaborez avec votre administrateur Microsoft Entra pour supprimer les inscriptions d’applications dans la liste générée précédemment.

      Remarque

      Effectuez le nettoyage de l’inscription de l’application avec précaution. En dehors du point de terminaison privilégié (PEP), votre système Azure Stack Hub devient inutilisable une fois ceux-ci supprimés. Les inscriptions d’applications ne peuvent pas être restaurées et votre système ne fonctionnera pas sans être redéployé.

Scénarios déconnectés

Pour les environnements déconnectés, suivez la procédure Supprimer la ressource d’activation d’Azure Stack Hub.

Désactiver Azure Stack Hub

Il existe deux options pour arrêter votre système Azure Stack Hub. Les deux commandes nécessitent que l’administrateur cloud se connecte au point de terminaison privilégié :

1. Arrêtez Azure Stack Hub (récupérable) : exécutez l’applet de commande Stop-AzureStack PowerShell à partir du point de terminaison privilégié.

2. Arrêtez Azure Stack Hub (non récupérable, les données sont effacées) : exécutez la Start-AzsCryptoWipe applet de commande à partir du point de terminaison privilégié.

   Importante

   Une fois cette commande exécutée, le tampon n’est pas récupérable.

Étapes suivantes

• Découvrez les outils de diagnostic Azure Stack Hub
• Stop-AzureStack
• Start-AzsCryptoWipe