Guido ImperatoreMigrare una Subscription Azure da una directory di Microsoft Entra ad un’altra mantenendo inalterate le configurazioni presenti
In alcuni casi ci troviamo davanti alla necessità di dover migrare una Subscription Azure da un tenant ad un altro, con la necessità di portare con noi, durante il processo tutte le risorse necessarie per il nostro lavoro.
Cosa è una Subscription Azure?
Una Subscription Azure (sottoscrizione Azure) è un accordo contrattuale con Microsoft per utilizzare i servizi cloud di Azure. Funge da contenitore per la fatturazione, la gestione e l’accesso alle risorse di Azure.
Le sottoscrizioni Azure consentono di separare le risorse per progetto, dipartimento o per uso, fornendo un maggiore controllo su come vengono spese le risorse e su come vengono gestite le autorizzazioni. Ogni sottoscrizione ha associati dei limiti e delle quote per le risorse che possono essere consumate, sebbene sia possibile avere più sottoscrizioni sotto un unico account Azure per soddisfare diverse necessità di progetto o organizzative.
Esistono diversi tipi di sottoscrizioni Azure, ognuno progettato per adattarsi a diversi casi d’uso e necessità di budget, come la sottoscrizione a pagamento per l’uso (Pay-As-You-Go), sottoscrizioni per le organizzazioni (Enterprise Agreement) e sottoscrizioni per scopi specifici come il supporto allo sviluppo o l’istruzione.
Le sottoscrizioni Azure sono strettamente integrate con Microsoft Entra, precedentemente noto come Azure Active Directory (Azure AD), che serve da spina dorsale per la gestione delle identità e degli accessi ai servizi cloud di Microsoft. Questa integrazione è fondamentale per garantire che l’accesso alle risorse cloud sia sicuro e ben gestito. Quando create una sottoscrizione Azure, essa viene associata a un’istanza di Microsoft Entra ID, permettendo di utilizzare le funzionalità di autenticazione e autorizzazione fornite da Microsoft Entra ID per controllare chi può accedere e gestire le risorse all’interno della sottoscrizione.
Il controllo degli accessi basato sui ruoli (RBAC) è un meccanismo chiave attraverso il quale Azure gestisce l’accesso alle risorse, permettendo agli amministratori di assegnare ruoli specifici agli utenti, ai gruppi e alle identità di servizio. Questi ruoli determinano le operazioni che gli assegnatari sono autorizzati a eseguire, garantendo che solo gli utenti autorizzati possano accedere a determinate risorse o eseguire certe azioni.
Un’altra caratteristica importante è la possibilità di associare una sottoscrizione a una directory Microsoft Entra ID specifica e, se necessario, di spostare la sottoscrizione tra diverse directory. Questo offre alle aziende la flessibilità di gestire le risorse in base alle esigenze aziendali, come la separazione delle risorse per divisione o progetto.
Il Single Sign-On (SSO) migliora ulteriormente l’esperienza dell’utente, permettendo di accedere a varie risorse e servizi cloud di Microsoft, inclusi Azure, Office 365 e molte altre applicazioni SaaS, utilizzando un unico set di credenziali. Questo non solo semplifica la gestione degli accessi ma aumenta anche la sicurezza riducendo il rischio di violazioni delle credenziali.
Infine, l’integrazione con Microsoft Entra ID offre miglioramenti significativi alla sicurezza attraverso funzionalità come l’autenticazione multi fattore (MFA) e le policy di accesso condizionale, aiutando le aziende a proteggere le risorse cloud da accessi non autorizzati e a soddisfare i requisiti di conformità.
In questo articolo vedremo insieme come poter migrare, e quindi mantenere tutti i servizi attivi, di una Subscription Azure IaaS da un tenant ad un altro.
Prerequisiti
Vi riporto alcuni prerequisiti necessari prima di procedere con l’attività di migrazione:
- Proprietario dell’account di fatturazione della sottoscrizione che si desidera trasferire nella directory di origine
- Un account utente sia nella directory di origine che in quella di destinazione per l’utente che apporta la modifica alla directory
Scenario
Le motivazioni che portano le organizzazioni a dover migrare le Subscription da un tenant ad un altro possono essere molteplici, le più diffuse, per quello che ho potuto notare durante l’attività lavorativa sono le seguenti:
- Fusioni e acquisizioni: il motivo principale per cui le organizzazioni decidono di procedere con la migrazione sono appunti fusioni e acquisizioni di aziende, che per risparmiare uniscono le risorse e cercano di capire eventualmente quali servizi mantenere e avere sotto controllo i consumi
- Gestione: Le organizzazioni tendono a voler unificare i servizi IT sotto un unico Tenant gestito da un’unica directory di EntraID per avere una più facile gestione del quotidiano
- Ristrutturazione aziendale: Capita spesso che vengono divisi “rami” di azienda e creati tenant differenti e le organizzazioni decidono di migrare le risorse dell’azienda divisa per una corretta gestione dei consumi e della fatturazione
Figura 1: Schema Migrazione Subscription Azure
Vi sono però alcuni accorgimenti da tenere in considerazione, come ad esempio nel caso di infrastrutture Azure complesse, perché non tutte le risorse all’interno della Subscription possono essere migrate e bisogna fare molta attenzione alla Region tra la vecchia e la nuova Subscription, questo per capire se tutte le macchina virtuali, resource group ecc…possono essere trasferiti, a titolo informativo e per approfondimenti vi riporto il link ufficiale Microsoft Transfer an Azure subscription to a different Microsoft Entra directory | Microsoft Learn
Nel mio caso, per darvi evidenza della migrazione utilizzerò due tenant, uno di origine che per comodità chiamerò TENANT_OLD (con dominio m365-demo.cloud) ed uno di destinazione che chiamerò TENANT_NEW (con dominio M365t54106512.onmicrosoft.com), vi riporto inoltre anche le risorse disponibili all’interno della sottoscrizione che andrò a migrare
Figura 2: Contenuto Subscription da Migrare
Ora, il primo passaggio che dovete eseguire è quello di invitare un utente del TENANT_NEW con ruoli di Global Admin, all’interno del TENANT_OLD, recatevi quindi all’interno del portale di Microsoft Azure Home – Microsoft Azure
Figura 3: Portale Azure Old Tenant
Figura 4: Invitare Global Admin del nuovo tenant, all’interno del vecchio tenant Microsoft
Figura 5: Invitare Global Admin del nuovo tenant, all’interno del vecchio tenant Microsoft
NB: il global admin del nuovo tenant deve avere un indirizzo email che possa ricevere, in quanto verrà inviato un link da validare
Figura 6: Invito utente guest del nuovo tenant in corso
Figura 7: Invio effettuato con successo
Ora recatevi all’interno della Inbox dell’utente global admin del nuovo tenant, nel mio caso l’utente è in Exchange Online; quindi, utilizzerò l’interfaccia web.
Figura 8: Accettazione invito da parte del global admin del nuovo tenant
Figura 9: Accettazione Link di invito del global admin del nuovo tenant
Ora che l’utente global admin esisterà all’interno del vostro TENANT_OLD, dovrete dare gli accessi in modalità OWNER all’attuale Subscription Azure
Figura 10: Subscription nel TENANT_OLD
Figura 11: Concessione diritti al nuovo utente sulle Subscription da Migrare
Figura 12: Concessione diritti al nuovo utente sulle Subscription da Migrare
Selezionate ora l’utente guest invitato in precedenza
Figura 13: Concessione diritti al nuovo utente sulle Subscription da Migrare
Nel mio caso, ho dato la possibilità all’Owner di poter assegnare a suo volta permessi all’interno della Subscription, nel caso succeda qualcosa, ma qui potete scegliere in base alla vostra esigenza
Figura 14: Concessione diritti al nuovo utente sulle Subscription da Migrare
Figura 15: Concessione diritti al nuovo utente sulle Subscription da Migrare
Figura 16: Assegnazione Ruolo all’interno dello Subscription
Figura 17: Permesso creato con successo
Ora dovrete accedere al portale di Microsoft Azure con l’utenza del nuovo tenant, nel mio caso TENANT_NEW Home – Microsoft Azure
Figura 18: Cambio Directory all’interno del nuovo tenant
Ora selezionate “Switch” per accedere con il nuovo utente, ma come utente guest all’interno del vecchio tenant, nel mio caso TENANT_OLD
Figura 19: Cambio Directory all’interno del nuovo tenant
Figura 20: Accesso effettuato come utente guest all’interno del vecchio tenant
Ora potete procedere ad eseguire la migrazione della vostra sottoscrizione Azure
Figura 21: Cambio Directory per migrazione della sottoscrizione Azure al nuovo tenant
Per seguire il change della directory viene richiesto l’accesso con il secondo fattore di autenticazione per motivi di sicurezza
Figura 22: Accesso con doppio fattore di autenticazione
NB: Controllate sempre l’ID del tenant di destinazione se siete proprietari di più Subscription onde evitare di eseguire la migrazione sul tenant errato
Figura 23: Migrazione Subscription Azure
Figura 24: Operazione di Migrazione Eseguita in modo corretto
Ora per darvi evidenza che la migrazione sia andata a buon fine vi mostro lo stato della Subscription all’interno del tenant vecchio, nel mio caso TENANT_OLD
Figura 25: Nessuna Sottoscrizione Presente nel vecchio tenant
Ecco invece lo stato, del nuovo tenant:
Figura 26: Sottoscrizione Presente all’interno del nuovo tenant
Figura 27: Tutte le risorse presenti nel nuovo tenant dopo aver migrato la Subscription
Conclusioni
Come avete potuto notare, il processo di migrazione di una Subscription da un tenant ad un altro è un’operazione molto semplice, ma che se fatta in modo attento e puntuale, può sicuramente aiutarvi nel migrare intere risorse, come ad esempio macchine virtuali da un tenant ad un altro mantenendo inalterate le configurazioni presenti.