Azure-regisztráció kezeléseManage Azure registration

Azure Stack HCI-v20H2 vonatkozikApplies to Azure Stack HCI v20H2

Miután létrehozott egy Azure Stack HCI-fürtöt, regisztrálnia kell a fürtöt az Azure arc-ban. A fürt regisztrálása után rendszeres időközönként szinkronizálja a helyszíni fürt és a felhő közötti információkat.Once you've created an Azure Stack HCI cluster, you must register the cluster with Azure Arc. Once the cluster is registered, it periodically syncs information between the on-premises cluster and the cloud. Ez a témakör a regisztrációs állapot megértését, Azure Active Directory engedélyek megadását és a fürt regisztrációjának törlését ismerteti, amikor készen áll a leszerelésre.This topic explains how to understand your registration status, grant Azure Active Directory permissions, and unregister your cluster when you're ready to decommission it.

A regisztrációs állapot ismertetéseUnderstanding registration status

A regisztrációs állapot megismeréséhez használja a Get-AzureStackHCI PowerShell-parancsmagot, valamint a ClusterStatus ,, RegistrationStatus és ConnectionStatus tulajdonságokat.To understand registration status, use the Get-AzureStackHCI PowerShell cmdlet and the ClusterStatus, RegistrationStatus, and ConnectionStatus properties. Például az Azure Stack HCI operációs rendszer telepítése után, a fürt létrehozása vagy csatlakoztatása előtt a tulajdonság a ClusterStatus "még nem" állapotot jeleníti meg:For example, after installing the Azure Stack HCI operating system, before creating or joining a cluster, the ClusterStatus property shows "not yet" status:

Azure regisztrációs állapot a fürt létrehozása előtt

A fürt létrehozása után a rendszer csak a RegistrationStatus "még nem" állapotot jeleníti meg:Once the cluster is created, only RegistrationStatus shows "not yet" status:

Azure-beli regisztráció állapota a fürt létrehozása után

Azure Stack HCI-nek az Azure Online Services használati feltételeinek megfelelően regisztrálnia kell a telepítést követő 30 napon belül.Azure Stack HCI needs to register within 30 days of installation per the Azure Online Services Terms. Ha nem fürtözött 30 nap után, a a ClusterStatus következőt fogja látni OutOfPolicy , és ha nem regisztrálja magát 30 nap után, a fog megjelenni RegistrationStatus OutOfPolicy .If not clustered after 30 days, the ClusterStatus will show OutOfPolicy, and if not registered after 30 days, the RegistrationStatus will show OutOfPolicy.

A fürt regisztrálása után megtekintheti a ConnectionStatus és az LastConnected időt, amely általában az elmúlt napon belül van, kivéve, ha a fürt átmenetileg le van választva az internetről.Once the cluster is registered, you can see the ConnectionStatus and LastConnected time, which is usually within the last day unless the cluster is temporarily disconnected from the Internet. Az Azure Stack HCI-fürtök akár 30 egymást követő napig is működhetnek teljesen offline állapotban.An Azure Stack HCI cluster can operate fully offline for up to 30 consecutive days.

Az Azure regisztrációs állapota Regisztráció után

Ha túllépi a maximális időtartamot, a ConnectionStatus fog megjelenni OutOfPolicy .If that maximum period is exceeded, the ConnectionStatus will show OutOfPolicy.

Azure Active Directory alkalmazás engedélyeiAzure Active Directory app permissions

Az előfizetéshez tartozó Azure-erőforrások létrehozása mellett a Azure Stack HCI-regisztrációja egy alkalmazás identitását hozza létre, amely fogalmi módon hasonló egy felhasználóhoz, a Azure Active Directory-bérlőben.In addition to creating an Azure resource in your subscription, registering Azure Stack HCI creates an app identity, conceptually similar to a user, in your Azure Active Directory tenant. Az alkalmazásidentitás örökli a fürt nevét.The app identity inherits the cluster name. Az identitás szükség szerint az Azure Stack HCI-felhőszolgáltatás nevében jár el az előfizetésen belül.This identity acts on behalf on the Azure Stack HCI cloud service, as appropriate, within your subscription.

Ha a futtatott felhasználó Register-AzureStackHCI egy Azure Active Directory-rendszergazda, vagy megfelelő engedélyekkel rendelkezik, ez az összes automatikusan megtörténik, és nincs szükség további műveletre.If the user who runs Register-AzureStackHCI is an Azure Active Directory administrator or has been delegated sufficient permissions, this all happens automatically, and no additional action is required. Ha nem, a regisztráció befejezéséhez jóváhagyásra lehet szükség a Azure Active Directory rendszergazdájától.If not, approval may be needed from your Azure Active Directory administrator to complete registration. A rendszergazda vagy explicit módon megadhatja az alkalmazás beleegyezését, vagy delegálhatja az engedélyeket, hogy jóváhagyást adjon az alkalmazásnak:Your administrator can either explicitly grant consent to the app, or they can delegate permissions so that you can grant consent to the app:

Azure Active Directory engedélyek és azonosítók diagramja

A jóváhagyás megadásához nyissa meg a Portal.Azure.com , és jelentkezzen be egy olyan Azure-fiókkal, amely rendelkezik megfelelő engedélyekkel a Azure Active Directory.To grant consent, open portal.azure.com and sign in with an Azure account that has sufficient permissions on the Azure Active Directory. Navigáljon Azure Active Directory, majd Alkalmazásregisztrációk.Navigate to Azure Active Directory, then App registrations. Válassza ki a fürt után nevű alkalmazás-identitást, és navigáljon az API-engedélyekhez.Select the app identity named after your cluster and navigate to API permissions.

Azure Stack HCI általánosan elérhető (GA) kiadásához az alkalmazásnak a következő engedélyekkel kell rendelkeznie, amelyek eltérnek a nyilvános előzetes verzióban szükséges alkalmazási engedélyekkel:For the General Availability (GA) release of Azure Stack HCI, the app requires the following permissions, which are different than the app permissions required in Public Preview:

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.Read

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.ReadWrite

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.Read

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.ReadWrite

A nyilvános előzetes verzióban az alkalmazás engedélyei voltak (ezek már elavultak):For Public Preview, the app permissions were (these are now deprecated):

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Census.Sync

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Billing.Sync

Ha a Azure Active Directory rendszergazdája jóváhagyást kér, eltarthat egy ideig, így a Register-AzureStackHCI parancsmag kilép, és a "függőben lévő rendszergazdai jóváhagyás" állapotba kerül, azaz részben kész.Seeking approval from your Azure Active Directory administrator could take some time, so the Register-AzureStackHCI cmdlet will exit and leave the registration in status "pending admin consent," i.e. partially completed. A jóváhagyás engedélyezése után egyszerűen futtassa újra Register-AzureStackHCI a regisztrációt.Once consent has been granted, simply re-run Register-AzureStackHCI to complete registration.

Felhasználói engedélyek Azure Active DirectoryAzure Active Directory user permissions

Az Register-AzStackHCIt futtató felhasználónak Azure AD-engedélyekre van szüksége a következőhöz:The user who runs Register-AzStackHCI needs Azure AD permissions to:

  • Azure AD-alkalmazások létrehozása/beolvasása/beállítása/eltávolítása (új/beolvasás/beállítás/eltávolítás – AzureADApplication)Create/Get/Set/Remove Azure AD applications (New/Get/Set/Remove-AzureADApplication)
  • Azure AD egyszerű szolgáltatás létrehozása/beolvasása (új/Get-New-Azureadserviceprincipal parancsmagot)Create/Get Azure AD service principal (New/Get-New-AzureADServicePrincipal)
  • AD-alkalmazási titkok kezelése (új/Get/Remove-AzureADApplicationKeyCredential)Manage AD application secrets (New/Get/Remove-AzureADApplicationKeyCredential)
  • Jóváhagyás engedélyezése adott alkalmazás-engedélyek használatára (új/AzureADServiceAppRoleAssignments beolvasása/eltávolítása)Grant consent to use specific application permissions (New/Get/Remove AzureADServiceAppRoleAssignments)

Ez háromféle módon valósítható meg.There are three ways in which this can be accomplished.

1. lehetőség: az alkalmazások regisztrálásának engedélyezése bármely felhasználó számáraOption 1: Allow any user to register applications

A Azure Active Directoryban navigáljon a felhasználói beállítások > Alkalmazásregisztrációk.In Azure Active Directory, navigate to User settings > App registrations. A felhasználók regisztrálhatnak alkalmazásokat, majd válassza az Igen lehetőséget.Under Users can register applications, select Yes.

Ez lehetővé teszi a felhasználók számára az alkalmazások regisztrálását.This will allow any user to register applications. A felhasználónak azonban továbbra is meg kell adnia az Azure AD-rendszergazdának a jóváhagyást a fürt regisztrálása során.However, the user will still require the Azure AD admin to grant consent during cluster registration. Vegye figyelembe, hogy ez a bérlői szintű beállítás, ezért előfordulhat, hogy a nagyvállalati ügyfelek számára nem megfelelő.Note that this is a tenant level setting, so it may not be suitable for large enterprise customers.

2. lehetőség: a felhőalapú alkalmazás-felügyeleti szerepkör kiosztásaOption 2: Assign Cloud Application Administration role

Rendelje hozzá a beépített "Cloud Application Administration" Azure AD-szerepkört a felhasználóhoz.Assign the built-in "Cloud Application Administration" Azure AD role to the user. Ez lehetővé teszi a felhasználó számára a fürtök regisztrálását anélkül, hogy további AD-rendszergazdai beleegyező jogosultságra van szüksége.This will allow the user to register clusters without the need for additional AD admin consent.

A legszigorúbb lehetőség az egyéni AD-szerepkör létrehozása egyéni engedélyezési házirenddel, amely a bérlői szintű rendszergazdai jóváhagyást delegálja a Azure Stack HCI szolgáltatáshoz szükséges engedélyekhez.The most restrictive option is to create a custom AD role with a custom consent policy that delegates tenant-wide admin consent for required permissions to the Azure Stack HCI Service. Ha ez az egyéni szerepkör hozzá van rendelve, a felhasználók regisztrálhatnak és megadhatnak jóváhagyást anélkül, hogy további AD-rendszergazdai jóváhagyásra van szükségük.When assigned this custom role, users are able to both register and grant consent without the need for additional AD admin consent.

Megjegyzés

Ehhez a lehetőséghez prémium szintű Azure AD licencre van szükség, és egyéni AD-szerepköröket és egyéni engedélyezési házirend-funkciókat használ, amelyek jelenleg nyilvános előzetes verzióban érhetők el.This option requires an Azure AD Premium license and uses custom AD roles and custom consent policy features which are currently in public preview.

  1. Kapcsolódás az Azure AD-hez:Connect to Azure AD:

    Connect-AzureAD
    
  2. Hozzon létre egy egyéni engedélyezési szabályzatot:Create a custom consent policy:

    New-AzureADMSPermissionGrantPolicy -Id "AzSHCI-registration-consent-policy" -DisplayName "Azure Stack HCI registration admin app consent policy" -Description "Azure Stack HCI registration admin app consent policy"
    
  3. Vegyen fel egy olyan feltételt, amely tartalmazza a Azure Stack HCI szolgáltatáshoz szükséges alkalmazás-engedélyeket, amely az alkalmazás AZONOSÍTÓjának 1322e676-dee7-41ee-a874-ac923822781c.Add a condition that includes required app permissions for Azure Stack HCI service, which carries the app ID 1322e676-dee7-41ee-a874-ac923822781c. Vegye figyelembe, hogy a következő engedélyek a Azure Stack HCI kiadásához szükségesek, és a nyilvános előzetes verzióban nem működnek, hacsak nem alkalmazta a november 23., 2020 előzetes frissítést (KB4586852) a fürt összes kiszolgálójára, és az az. StackHCI modul 0.4.1 vagy újabb verzióját töltötte le.Note that the following permissions are for the GA release of Azure Stack HCI, and will not work with Public Preview unless you have applied the November 23, 2020 Preview Update (KB4586852) to every server in your cluster and have downloaded the Az.StackHCI module version 0.4.1 or later.

    New-AzureADMSPermissionGrantConditionSet -PolicyId "AzSHCI-registration-consent-policy" -ConditionSetType "includes" -PermissionType "application" -ResourceApplication "1322e676-dee7-41ee-a874-ac923822781c" -Permissions "bbe8afc9-f3ba-4955-bb5f-1cfb6960b242","8fa5445e-80fb-4c71-a3b1-9a16a81a1966","493bd689-9082-40db-a506-11f40b68128f","2344a320-6a09-4530-bed7-c90485b5e5e2"
    
  4. Adja meg az engedélyeket a Azure Stack HCI regisztrálásának engedélyezéséhez, amely a 2. lépésben létrehozott egyéni engedélyezési szabályzatot is megadjaGrant permissions to allow registering Azure Stack HCI, noting the custom consent policy created in Step 2:

    $displayName = "Azure Stack HCI Registration Administrator "
    $description = "Custom AD role to allow registering Azure Stack HCI "
    $templateId = (New-Guid).Guid
    $allowedResourceAction =
    @(
           "microsoft.directory/applications/createAsOwner",
           "microsoft.directory/applications/delete",
           "microsoft.directory/applications/standard/read",
           "microsoft.directory/applications/credentials/update",
           "microsoft.directory/applications/permissions/update",
           "microsoft.directory/servicePrincipals/appRoleAssignedTo/update",
           "microsoft.directory/servicePrincipals/appRoleAssignedTo/read",
           "microsoft.directory/servicePrincipals/appRoleAssignments/read",
           "microsoft.directory/servicePrincipals/createAsOwner",
           "microsoft.directory/servicePrincipals/credentials/update",
           "microsoft.directory/servicePrincipals/permissions/update",
           "microsoft.directory/servicePrincipals/standard/read",
           "microsoft.directory/servicePrincipals/managePermissionGrantsForAll.AzSHCI-registration-consent-policy"
    )
    $rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
    
  5. Hozza létre az új egyéni AD-szerepkört:Create the new custom AD role:

    $customADRole = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true
    
  6. Rendelje hozzá az új egyéni AD-szerepkört ahhoz a felhasználóhoz, aki regisztrálni fogja az Azure Stack HCI-fürtöt az Azure-ban az alábbi utasításokkövetésével.Assign the new custom AD role to the user who will register the Azure Stack HCI cluster with Azure by following these instructions.

Azure Stack HCI regisztrációjának törlése az Azure-banUnregister Azure Stack HCI with Azure

Ha készen áll a Azure Stack HCI-fürt leszerelésére, használja a Unregister-AzStackHCI parancsmagot a regisztráció megszüntetéséhez.When you're ready to decommission your Azure Stack HCI cluster, use the Unregister-AzStackHCI cmdlet to unregister. Ezzel leállítja az összes figyelési, támogatási és számlázási funkciót az Azure arc használatával. A fürtöt jelképező Azure-erőforrás és a Azure Active Directory alkalmazás identitása törölve lett, de az erőforráscsoport nem, mert más nem kapcsolódó erőforrásokat is tartalmazhat.This stops all monitoring, support, and billing functionality through Azure Arc. The Azure resource representing the cluster and the Azure Active Directory app identity are deleted, but the resource group is not, because it may contain other unrelated resources.

Ha csomóponton futtatja a Unregister-AzStackHCI parancsmagot, használja ezt a szintaxist, és adja meg az Azure-előfizetés azonosítóját, valamint a regisztrálni kívánt Azure stack HCI-fürt erőforrás-nevét:If running the Unregister-AzStackHCI cmdlet on a cluster node, use this syntax and specify your Azure subscription ID as well as the resource name of the Azure Stack HCI cluster you wish to unregister:

Unregister-AzStackHCI -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001

A rendszer kérni fogja, hogy látogasson el a microsoft.com/devicelogin egy másik eszközre (például a SZÁMÍTÓGÉPére vagy a telefonra), írja be a kódot, és jelentkezzen be az Azure-beli hitelesítéshez.You'll be prompted to visit microsoft.com/devicelogin on another device (like your PC or phone), enter the code, and sign in there to authenticate with Azure.

Ha a parancsmagot egy felügyeleti SZÁMÍTÓGÉPRŐL futtatja, akkor a fürtben is meg kell adnia a kiszolgáló nevét:If running the cmdlet from a management PC, you'll also need to specify the name of a server in the cluster:

Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001

Megjelenik egy interaktív Azure bejelentkezési ablak.An interactive Azure login window will pop up. A pontos Rákérdezés a biztonsági beállításoktól (például kétfaktoros hitelesítés) függően változhat.The exact prompts you see will vary depending on your security settings (e.g. two-factor authentication). Az utasításokat követve jelentkezzen be.Follow the prompts to log in.

Következő lépésekNext steps

A kapcsolódó információkkal kapcsolatban lásd még:For related information, see also: