Ověření identity Azure

  • Článek

Pomocí nástroje Azure Stack Hub Readiness Checker (AzsReadinessChecker) ověřte, že je id Microsoft Entra připravené k použití se službou Azure Stack Hub. Před zahájením nasazení služby Azure Stack Hub ověřte řešení identit Azure.

Kontrola připravenosti ověří:

  • Microsoft Entra ID jako zprostředkovatele identity pro Azure Stack Hub.
  • Účet Microsoft Entra, který plánujete používat, se může přihlásit jako globální správce vašeho id Microsoft Entra.

Ověření zajišťuje, že je vaše prostředí připravené na to, aby služba Azure Stack Hub ukládala informace o uživatelích, aplikacích, skupinách a instančních objektech ze služby Azure Stack Hub do id Microsoft Entra.

Získání nástroje pro kontrolu připravenosti

Stáhněte si nejnovější verzi nástroje Azure Stack Hub Readiness Checker (AzsReadinessChecker) z Galerie prostředí PowerShell.

Instalace a konfigurace

Požadavky

Jsou vyžadovány následující požadavky:

Moduly Az PowerShellu

Budete muset mít nainstalované moduly Az PowerShellu. Pokyny najdete v tématu Instalace modulu PowerShell Az Preview.

Microsoft Entra prostředí

  • Identifikujte Microsoft Entra účet, který se má použít pro Službu Azure Stack Hub, a ujistěte se, že se jedná o globálního správce Microsoft Entra.
  • Identifikujte název tenanta Microsoft Entra. Název tenanta musí být primárním názvem domény pro vaše ID Microsoft Entra. Například contoso.onmicrosoft.com.

Postup ověření identity Azure

  1. Na počítači, který splňuje požadavky, otevřete příkazový řádek PowerShellu se zvýšenými oprávněními a spuštěním následujícího příkazu nainstalujte AzsReadinessChecker:

    Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
Install-AzProfile -Profile 2020-09-01-hybrid -Force
Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease

  2. Na příkazovém řádku PowerShellu spusťte následující příkaz. Nahraďte contoso.onmicrosoft.com názvem tenanta Microsoft Entra:

    Connect-AzAccount -tenant contoso.onmicrosoft.com

  3. Na příkazovém řádku PowerShellu spusťte následující příkaz, který zahájí ověření id Microsoft Entra. Nahraďte contoso.onmicrosoft.com názvem tenanta Microsoft Entra:

    Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com

  4. Po spuštění nástroje zkontrolujte výstup. Ověřte, že je stav v pořádku pro požadavky na instalaci. Úspěšné ověření se zobrazí jako v následujícím příkladu:

    Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
Starting Azure Identity Validation

Checking Installation Requirements: OK

Finished Azure Identity Validation

Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Sestava a soubor protokolu

Při každém spuštění ověřování protokoluje výsledky do azsReadinessChecker.log a AzsReadinessCheckerReport.json. Umístění těchto souborů se zobrazí s výsledky ověření v PowerShellu.

Tyto soubory vám můžou pomoct sdílet stav ověření před nasazením služby Azure Stack Hub nebo prozkoumat problémy s ověřováním. Oba soubory zachovají výsledky každé následné kontroly ověření. Sestava poskytne týmu nasazení potvrzení konfigurace identity. Soubor protokolu může pomoct vašemu týmu nasazení nebo týmu podpory prozkoumat problémy s ověřováním.

Ve výchozím nastavení se oba soubory zapisují do C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

  • Pomocí parametru -OutputPath <path> na konci příkazového řádku spuštění určete jiné umístění sestavy.
  • Pomocí parametru -CleanReport na konci příkazu run vymažte informace o předchozích spuštěních nástroje ze souboru AzsReadinessCheckerReport.json.

Další informace najdete v sestavě ověřování služby Azure Stack Hub.

Selhání ověření

Pokud ověřovací kontrola selže, zobrazí se podrobnosti o selhání v okně PowerShellu. Nástroj také protokoluje informace do souboru AzsReadinessChecker.log.

Následující příklady poskytují pokyny k běžným chybám ověřování.

Vypršela platnost hesla nebo dočasné heslo

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Příčina – Účet se nemůže přihlásit, protože platnost hesla vypršela nebo je dočasná.

Řešení – v PowerShellu spusťte následující příkaz a pak podle pokynů resetujte heslo:

Login-AzureRMAccount

Dalším způsobem je přihlásit se k Azure Portal jako vlastník účtu a uživatel bude nucen změnit heslo.

Neznámý typ uživatele

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Příčina – Účet se nemůže přihlásit k zadanému ID Microsoft Entra (AADDirectoryTenantName). V tomto příkladu je AzureChinaCloud zadaný jako AzureEnvironment.

Řešení – ověřte, že je účet platný pro zadané prostředí Azure. Spuštěním následujícího příkazu v PowerShellu ověřte, že je účet platný pro konkrétní prostředí:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Účet není správcem

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Příčina – I když se účet může úspěšně přihlásit, účet není správcem id Microsoft Entra (AADDirectoryTenantName).

Řešení – Přihlaste se k Azure Portal jako vlastník účtu, přejděte na id Microsoft Entra, pak na Uživatelé a vyberte uživatele. Pak vyberte Role adresáře a ujistěte se, že uživatel je Globální správce. Pokud je účet uživatel, přejděte na Microsoft Entra ID>Vlastní názvy domén a ověřte, že název, který jste zadali pro AADDirectoryTenantName, je označen jako primární název domény pro tento adresář. V tomto příkladu je to contoso.onmicrosoft.com.

Azure Stack Hub vyžaduje, aby název domény byl primárním názvem domény.

Další kroky

Ověření registrace v Azure
Zobrazení sestavy připravenosti
Obecné aspekty integrace služby Azure Stack Hub