Ověřit identitu AzureValidate Azure identity

Pomocí nástroje pro kontrolu připravenosti centra Azure Stack ( AzsReadinessChecker ) ověřte, že Azure Active Directory (Azure AD) je připravená k použití s Azure Stackm rozbočovačem.Use the Azure Stack Hub Readiness Checker tool ( AzsReadinessChecker ) to validate that your Azure Active Directory (Azure AD) is ready to use with Azure Stack Hub. Než začnete s nasazením centra Azure Stack, ověřte svoje řešení Azure identity.Validate your Azure identity solution before you begin an Azure Stack Hub deployment.

Kontrola připravenosti ověřuje:The readiness checker validates:

  • Azure AD jako zprostředkovatel identity pro centrum Azure Stack.Azure AD as an identity provider for Azure Stack Hub.
  • Účet Azure AD, který chcete použít, se může přihlásit jako globální správce služby Azure AD.The Azure AD account that you plan to use can sign in as a global administrator of your Azure AD.

Ověření zajišťuje, aby vaše prostředí bylo připravené Azure Stack centra pro ukládání informací o uživatelích, aplikacích, skupinách a instančních objektech z centra Azure Stack ve službě Azure AD.Validation ensures your environment is ready for Azure Stack Hub to store information about users, applications, groups, and service principals from Azure Stack Hub in your Azure AD.

Získat nástroj pro kontrolu připravenostiGet the readiness checker tool

Z Galerie prostředí PowerShellsi stáhněte nejnovější verzi nástroje pro kontrolu připravenosti centra Azure Stack (AzsReadinessChecker).Download the latest version of the Azure Stack Hub Readiness Checker tool (AzsReadinessChecker) from the PowerShell Gallery.

Instalace a konfiguraceInstall and configure

PožadavkyPrerequisites

Vyžadují se tyto požadavky:The following prerequisites are required:

AZ PowerShell modulesAz PowerShell modules

Budete muset mít nainstalované moduly AZ PowerShellu.You will need to have the Az PowerShell modules installed. Pokyny najdete v tématu instalace prostředí PowerShell AZ Preview Module.For instructions, see Install PowerShell Az preview module.

Prostředí Azure Active Directory (Azure AD)Azure Active Directory (Azure AD) environment

  • Identifikujte účet Azure AD, který se má používat pro Azure Stack hub, a ujistěte se, že se jedná o globálního správce Azure AD.Identify the Azure AD account to use for Azure Stack Hub and ensure it's an Azure AD global administrator.
  • Identifikujte název tenanta Azure AD.Identify your Azure AD tenant name. Název tenanta musí být primární název domény pro Azure AD.The tenant name must be the primary domain name for your Azure AD. Například contoso.onmicrosoft.com.For example, contoso.onmicrosoft.com.

Postup ověření identity AzureSteps to validate Azure identity

  1. V počítači, který splňuje požadavky, otevřete příkazový řádek PowerShell se zvýšenými oprávněními a spusťte následující příkaz pro instalaci AzsReadinessChecker :On a computer that meets the prerequisites, open an elevated PowerShell command prompt, and then run the following command to install AzsReadinessChecker :

    Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
    Install-AzProfile -Profile 2019-03-01-hybrid -Force
    Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
    
  2. Z příkazového řádku PowerShellu spusťte následující příkaz.From the PowerShell prompt, run the following command. Nahraďte contoso.onmicrosoft.com názvem vašeho tenanta Azure AD:Replace contoso.onmicrosoft.com with your Azure AD tenant name:

    Connect-AzAccount -tenant contoso.onmicrosoft.com
    
  3. Z příkazového řádku PowerShellu spusťte následující příkaz, který spustí ověření služby Azure AD.From the PowerShell prompt, run the following command to start validation of your Azure AD. Nahraďte contoso.onmicrosoft.com názvem vašeho tenanta Azure AD:Replace contoso.onmicrosoft.com with your Azure AD tenant name:

    Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
    
  4. Po spuštění nástroje si Projděte výstup.After the tool runs, review the output. Pro požadavky na instalaci potvrďte, že stav je OK .Confirm the status is OK for installation requirements. Úspěšné ověření vypadá jako v následujícím příkladu:A successful validation appears like the following example:

    Invoke-AzsAzureIdentityValidation v1.2005.1269 started.
    Starting Azure Identity Validation
    
    Checking Installation Requirements: OK
    
    Finished Azure Identity Validation
    
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
    Invoke-AzsAzureIdentityValidation Completed
    

Soubor sestavy a protokoluReport and log file

Pokaždé, když se ověřování spustí, protokoluje výsledky do AzsReadinessChecker. log a AzsReadinessCheckerReport.js.Each time validation runs, it logs results to AzsReadinessChecker.log and AzsReadinessCheckerReport.json. Umístění těchto souborů se zobrazí s výsledky ověřování v prostředí PowerShell.The location of these files displays with the validation results in PowerShell.

Tyto soubory vám můžou přispět ke sdílení stavu ověření před nasazením centra Azure Stack nebo prozkoumání problémů s ověřováním.These files can help you share validation status before you deploy Azure Stack Hub or investigate validation problems. Oba soubory uchovávají výsledky každé následné kontroly ověření.Both files persist the results of each subsequent validation check. Sestava poskytne vašemu týmu nasazení potvrzení konfigurace identity.The report provides your deployment team confirmation of the identity configuration. Soubor protokolu může pomoci týmu nasazení nebo podpory prozkoumat problémy s ověřením.The log file can help your deployment or support team investigate validation issues.

Ve výchozím nastavení jsou oba soubory zapisovány do C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json .By default, both files are written to C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

  • Použijte -OutputPath <path> parametr na konci příkazového řádku pro spuštění k určení jiného umístění sestavy.Use the -OutputPath <path> parameter at the end of the run command line to specify a different report location.
  • Pomocí -CleanReport parametru na konci příkazu Run můžete vymazat informace o předchozích spuštěních nástroje z AzsReadinessCheckerReport.jsv.Use the -CleanReport parameter at the end of the run command to clear information about previous runs of the tool from AzsReadinessCheckerReport.json.

Další informace najdete v tématu Sestava ověřování centra Azure Stack.For more information, see Azure Stack Hub validation report.

Selhání ověřováníValidation failures

Pokud kontrola ověření selže, zobrazí se podrobnosti o chybě v okně PowerShellu.If a validation check fails, details about the failure display in the PowerShell window. Nástroj také protokoluje informace do souboru AzsReadinessChecker. log.The tool also logs information to the AzsReadinessChecker.log file.

V následujících příkladech jsou uvedeny pokyny k běžným chybám ověření.The following examples provide guidance on common validation failures.

Neplatné nebo dočasné hesloExpired or temporary password

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Příčina – účet se nemůže přihlásit, protože heslo vypršelo nebo je dočasné.Cause - The account can't sign in because the password is either expired or temporary.

Řešení – v PowerShellu spusťte následující příkaz a potom postupujte podle pokynů pro resetování hesla:Resolution - In PowerShell, run the following command and then follow the prompts to reset the password:

Login-AzureRMAccount

Dalším způsobem je přihlašovat se k Azure Portal jako vlastník účtu a uživatel bude nucen měnit heslo.Another way is to sign in to the Azure portal as the account owner and the user will be forced to change the password.

Neznámý typ uživateleUnknown user type

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Příčina : účet se nemůže přihlásit k zadané službě Azure AD ( AADDirectoryTenantName ).Cause - The account can't sign in to the specified Azure AD ( AADDirectoryTenantName ). V tomto příkladu je AzureChinaCloud zadáno jako AzureEnvironment.In this example, AzureChinaCloud is specified as the AzureEnvironment.

Řešení – potvrďte, že je účet platný pro zadané prostředí Azure.Resolution - Confirm that the account is valid for the specified Azure environment. Spuštěním následujícího příkazu v PowerShellu ověřte, že je účet platný pro konkrétní prostředí:In PowerShell, run the following command to verify the account is valid for a specific environment:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Účet není správcem.Account is not an administrator

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Příčina – i když se účet může úspěšně přihlásit, účet není správcem Azure AD ( AADDirectoryTenantName ).Cause - Although the account can successfully sign in, the account isn't an admin of the Azure AD ( AADDirectoryTenantName ).

Řešení – Přihlaste se k Azure Portal jako vlastník účtu, pokračujte na Azure Active Directory a pak na Uživatelé a pak Vyberte uživatele.Resolution - Sign in into the Azure portal as the account owner, go to Azure Active Directory , then Users , then Select the User. Pak vyberte role adresáře a ujistěte se, že je uživatel globálním správcem.Then select Directory Role and ensure the user is a Global administrator. Pokud je účet uživatelem , vyhledejte Azure Active Directory > vlastní názvy domén a potvrďte, že název, který jste zadali pro AADDirectoryTenantName , je označený jako primární název domény pro tento adresář.If the account is a User , go to Azure Active Directory > Custom domain names and confirm that the name you supplied for AADDirectoryTenantName is marked as the primary domain name for this directory. V tomto příkladu je to contoso.onmicrosoft.com.In this example, that's contoso.onmicrosoft.com.

Azure Stack hub vyžaduje, aby byl název domény primárním názvem domény.Azure Stack Hub requires that the domain name is the primary domain name.

Další krokyNext Steps

Ověření registrace v AzureValidate Azure registration
Zobrazit sestavu připravenostiView the readiness report
Obecné pokyny k integraci centra Azure StackGeneral Azure Stack Hub integration considerations