將現有的 Azure 環境轉換到 Azure Landing Zone 參考架構

許多組織都有現有的 Azure 使用量、一或多個訂用帳戶，以及現有的管理群組結構。 視其商務需求和案例而定，他們可能已部署 Azure 資源，例如 Azure VPN 閘道或 Azure ExpressRoute 以進行混合式連線。

本文提供建議，協助您的組織根據現有 Azure 環境，順利過渡到 Azure 著陸區參考架構的變更。 本文也說明在 Azure 中移動資源的考慮，例如將訂用帳戶從一個現有的管理群組移至另一個管理群組。 請考慮這些建議，協助您評估及規劃現有 Azure 環境的轉換。

在 Azure 中移動資源

您可以在建立之後，在 Azure 中移動一些資源。 根據使用者在特定範圍及跨範圍的 Azure 角色型訪問控制（RBAC）許可權，有不同的方法可以採用。 下表概述您可以移動哪些資源、在哪個範圍，以及與每個資源相關聯的優缺點。

若要判斷您應該使用哪一個移動策略，請考慮下列範例。

移動訂用帳戶

一般而言，您會將訂用帳戶移至管理群組，或將訂用帳戶轉移至新的 Microsoft Entra ID 租使用者。 將訂用帳戶移至新的租使用者主要是為了 轉移帳單擁有權。 如需如何在相同租使用者中跨管理群組移動訂用帳戶的詳細資訊，請參閱 移動管理群組和訂用帳戶。

Azure RBAC 需求

若要在移動前評估訂用帳戶，用戶必須具備適當的 Azure RBAC。 使用者可能是訂用帳戶的擁有者（直接角色指派），並且具有目標管理群組的編輯權限。 支援目標管理群組寫入許可權的內建角色是擁有者角色、參與者角色，以及管理群組參與者角色。

如果使用者在現有管理群組中的訂用帳戶擁有繼承的擁有者角色許可權，那麼您只能將訂用帳戶移動到指派該擁有者角色的管理群組。

政策

現有的訂用帳戶可能受限於直接指派的 Azure 原則，或是在他們目前所在的管理群組指派。 請務必評估現行政策以及新管理群組或管理群組階層中可能存在的政策。

您可以使用 Azure Resource Graph 來執行現有資源的清查，並將其設定與目的地上存在的原則進行比較。

將訂用帳戶移至具有現有 Azure RBAC 和原則的管理群組之後，請考慮下列因素：

• 對於任何繼承至已移動訂用帳戶的 Azure RBAC，管理群組快取中的使用者令牌可能需要最多 30 分鐘才能重新整理。 若要加速此流程，您可以選擇登出並重新登入，或者要求新的令牌以更新現有的令牌。

• 指派範圍包含已移動訂用帳戶的原則只會對現有資源執行稽核。 訂閱中現有的資源，受到以下限制：

  • DeployIfNotExists 原則的執行效果會顯示為不符合規範，且不會自動補救。 用戶必須手動執行補救。

  • Deny 政策結果會顯示為不符合規範，且不會遭到拒絕。 用戶必須視需要手動減輕此結果。

  • Append 和 Modify 原則效果會顯示為不符合規範，並要求用戶解決。

  • Audit 和 AuditIfNotExist 原則效果會顯示為不符合規範，並要求用戶解決。

• 對已移動訂閱中的資源進行的所有新寫入，將像通常情況下那樣，受到即時指派的原則約束。

移動資源

一般而言，當您想要將資源合併到相同的資源群組時，如果資源分享相同的生命週期，則您會移動資源。 或者，如果您想要因為成本、擁有權或 Azure RBAC 需求而將資源移至不同的訂用帳戶。

當您移動資源時，來源資源群組和目標資源群組會在移動作業期間鎖定。 您無法新增、更新或刪除資源群組中的資源。 資源移動作業不會變更資源的位置。

如需如何在相同租使用者中跨資源群組和訂用帳戶移動資源的詳細資訊，請參閱 將資源移至新的資源群組或訂用帳戶。

移動資源之前

在移動作業之前，您必須確認 支持資源，並評估其需求和相依性。 例如，當您移動對等互連虛擬網路時，必須先停用虛擬網路對等互連，然後在移動作業完成之後重新啟用對等互連。 預先規劃停用和重新啟用相依性，讓您瞭解可能連線到虛擬網路的現有工作負載的影響。

移動資源之後

當您將資源移轉至相同訂用帳戶中的新資源群組時，從管理群組或訂用帳戶繼承的任何 Azure RBAC 和策略仍然適用。 這也適用於當您移至屬於新訂用帳戶的資源群組時，該帳戶可能受到其他 Azure RBAC 和原則指派的限制。 您必須驗證資源合規性和存取控制。

情境

以下情境說明如何將現有環境遷移並轉換至 Azure 登陸區參考架構。

• 對齊情境

  • 將一個沒有管理群組的訂閱轉換到 Azure 登陸區域參考架構
  • 轉接管理群組至 Azure 登陸區參考架構
  • 將區域組織轉換至 Azure 登陸區參考架構

• 對齊方法

  • 透過複製一個著陸區管理群組來轉換環境 （建議）