Přesun Azure subscription do jiného tenantu: deep research pro partner benefit subscription

[!IMPORTANT] Původní zadání uživatele: „Udělej mi deep research na téma přesun azure subscription do jiného tenantu. Jedná se o subscription z partner benefit. Potřebuji znát všechny dopady na výpadek služeb. Jsou tam webapp, azure sql, storage accounts, appinsights, keyvaults.“

Datum publikace: 2026-07-02
Viditelnost: veřejná Hermes WWW

1. Executive summary

Nejdůležitější závěr je tento:

  1. Pokud je ten „partner benefit“ subscription ve skutečnosti CSP subscription, změna Entra directory / tenantu není podle Microsoftu podporovaná. Microsoft to v hlavním článku k tenant transferu uvádí explicitně.
  2. Pokud to CSP není, samotný tenant transfer je možný jen po velmi pečlivé přípravě a u části služeb buď způsobí výpadek, nebo je bez předchozí změny konfigurace vůbec neproveditelný.
  3. Největší technické riziko není „přesun resourceů jako takových“, ale rozbití identity vrstvy: Azure RBAC, managed identities, Key Vault access policies / RBAC, Entra-auth vazby do SQL, ACLs ve Storage.
  4. Pro App Service / Web App Microsoft negarantuje „bezvýpadkovost“. Pokud app používá managed identity, Key Vault references nebo Entra auth downstream služeb, je realistické čekat aplikační výpadek po přepnutí, dokud se identity a access policy znovu nenapojí.
  5. Azure SQL je kritická stopka: pokud databáze používá Microsoft Entra authentication, Microsoft říká, že ji do jiného directory nelze převést v tomto stavu.

Prakticky:

2. Co je potřeba rozhodnout jako úplně první

Termín „partner benefit subscription“ není dostatečně přesný pro rozhodnutí, jestli je tenant transfer supportovaný.

Microsoft dokumentuje, že partner programy poskytují různé Azure benefity / Azure credits. Z veřejných Learn stránek ale neplyne univerzální pravidlo „každý partner benefit subscription lze / nelze přepnout do jiného tenantu“. Rozhodující je skutečný offer / billing model konkrétní subscription.

Rozhodovací brána

Jak to ověřit před jakýmkoli plánováním výpadku

V praxi si ověř:

Bez této validace nemá smysl dělat detailní migrační plán.

3. Oficiální Microsoft hard-stopy a obecné dopady

3.1 CSP stopka

Microsoft v článku Transfer an Azure subscription to a different Microsoft Entra directory uvádí:

To je nejtvrdší rozhodovací bod v celé analýze.

3.2 Obecný dopad tenant transferu

Microsoft současně uvádí:

To znamená:

4. Dopad na výpadek služeb podle typu služby

4.1 Web App / App Service

Co Microsoft říká přímo

Microsoft u App Service managed identities uvádí:

Microsoft u Key Vault references pro App Service zároveň uvádí, že:

Reálný dopad na výpadek

Samotný App Service resource nemusí nutně „spadnout“ jako compute platforma. Ale velmi často přestane fungovat aplikace jako celek, pokud používá některý z těchto patternů:

Praktická klasifikace rizika

Co typicky po transferu přestane fungovat

Závěr pro outage

U Web App neplánuj „zero downtime“ jako default. Pokud app používá MI nebo Key Vault references, plánuj to jako maintenance window s následnou repair fází.

4.2 Azure SQL

Co Microsoft říká přímo

V tenant transfer článku Microsoft uvádí:

To je zásadní.

Reálný dopad

Pokud dnes aplikace používá:

pak je to před transferem blocker.

Co to znamená pro výpadek

Praktický závěr

4.3 Storage Accounts

Co Microsoft říká přímo

Microsoft uvádí:

U Azure Files Microsoft doplňuje:

Reálný dopad

Dopad závisí hlavně na tom, jak je storage používán:

Co může způsobit výpadek

Závěr pro outage

4.4 Key Vault

Co Microsoft říká přímo

Microsoft uvádí:

K tomu je potřeba přičíst obecný dopad článku:

Reálný dopad

Key Vault je u tenant transferu jeden z nejpravděpodobnějších zdrojů výpadku.

Pokud z něj čtou:

pak po transferu typicky nastane některý z těchto stavů:

Závěr pro outage

4.5 Application Insights / App Insights

Co Microsoft říká přímo

Application Insights není v hlavním tenant transfer článku explicitně vypsaný jako zvláštní resource type s unikátním migračním pravidlem.

Microsoft ale současně říká dvě důležité věci:

K tomu Microsoft v dokumentaci k Application Insights connection strings uvádí, že:

Reálný dopad

Z toho plyne tento opatrný závěr:

Závěr pro outage

5. Outage matice pro tvoje služby

Služba Primární riziko Pravděpodobnost výpadku Poznámka
Web App / App Service Managed identity, Key Vault references, RBAC na downstream resources Vysoká Platforma může běžet, ale aplikace často ne
Azure SQL Microsoft Entra authentication Velmi vysoká / blocker S Entra auth enabled to Microsoft výslovně nepovoluje
Storage Accounts ACLs, RBAC, Entra/Kerberos access Střední až vysoká Záleží, zda app používá keys/SAS vs. identity/ACL
Key Vault Tenant ID, access policies, RBAC, MI object IDs Velmi vysoká Častý hlavní zdroj aplikačního výpadku
Application Insights Ztráta RBAC a ops access Nízká až střední Nižší riziko pro runtime, vyšší pro operations

6. Co z toho plyne pro maintenance window

Pokud to není CSP a tenant transfer je vůbec supportovaný, doporučený realistický pohled je:

Varianta A — minimální riziko výpadku

Pouze pokud platí vše:

To je u reálného Azure workloadu spíš méně časté.

Varianta B — běžný reálný scénář

Typický moderní workload má alespoň část z následujícího:

V tom případě je správné počítat s:

7. Doporučené pořadí rozhodnutí a kontrol

7.1 Gate 0 — supportability

Nejdřív potvrdit:

Pokud vyjde CSP, tento plán končí: tenant transfer není supportovaný.

7.2 Gate 1 — dependency inventory

Před změnou si vyexportovat minimálně:

7.3 Gate 2 — blockers

Přerušit projekt, dokud nejsou vyřešené:

7.4 Gate 3 — cutover readiness

Před maintenance window musí být připravené:

8. Praktický závěr pro tvoje konkrétní portfolio

Pro stack Web App + Azure SQL + Storage + App Insights + Key Vault je nejpravděpodobnější tato realita:

9. Doporučené rozhodnutí

Pokud chceš rychlé rozhodovací pravidlo

10. Co bych považoval za bezpečný další krok

Než se stanoví termín výpadku, udělal bych přesně tyto 3 věci:

  1. Potvrdit exact offer type subscriptionu a tím vyřešit CSP vs non-CSP.
  2. Udlat dependency inventory zaměřený jen na:
  3. Web Apps,
  4. identities,
  5. Key Vault references,
  6. SQL auth mode,
  7. storage ACL / Entra auth.
  8. Z toho odvodit outage plan, ne obráceně.

Bez těchto 3 kroků by jakýkoli odhad „výpadek bude malý“ byl nespolehlivý.

11. Zdroje

Primární Microsoft Learn zdroje

  1. Transfer an Azure subscription to a different Microsoft Entra directory
    https://learn.microsoft.com/en-us/azure/role-based-access-control/transfer-subscription

  2. How to change the Entra directory of your Azure subscription
    https://learn.microsoft.com/en-us/azure/cost-management-billing/manage/subscription-change-directory

  3. Use managed identities for App Service and Azure Functions
    https://learn.microsoft.com/en-us/azure/app-service/overview-managed-identity

  4. Use Key Vault references as app settings in Azure App Service, Azure Functions, and Azure Logic Apps (Standard)
    https://learn.microsoft.com/en-us/azure/app-service/app-service-key-vault-references

  5. Connection strings in Application Insights
    https://learn.microsoft.com/en-us/azure/azure-monitor/app/connection-strings

  6. Manage Membership with Microsoft in Partner Center
    https://learn.microsoft.com/en-us/partner-center/membership/mpn-overview

  7. Partner Success Core Benefits
    https://learn.microsoft.com/en-us/partner-center/membership/partner-success-core-benefits

12. Bottom line jednou větou

Nejprve ověř, zda ten partner benefit subscription není CSP; pokud ano, tenant transfer není podporovaný. Pokud CSP není, pro tvoji kombinaci Web App + SQL + Storage + Key Vault je správný předpoklad plánovaný maintenance window, protože největší riziko je rozpad identity a access vrstvy, ne samotné „přesunutí subscriptionu“.