Azure-identitás ellenőrzése

Az Azure Stack Hub készültségi ellenőrző eszközével (AzsReadinessChecker) ellenőrizheti, hogy a Microsoft Entra azonosító készen áll-e az Azure Stack Hub használatára. Az Azure Stack Hub üzembe helyezése előtt ellenőrizze az Azure Identity-megoldást.

A készenlét-ellenőrző ellenőrzi a következőt:

• Microsoft Entra Azonosító az Azure Stack Hub identitásszolgáltatójaként.
• A használni kívánt Microsoft Entra fiók a Microsoft Entra-azonosító globális rendszergazdájaként jelentkezhet be.

Az ellenőrzés biztosítja, hogy a környezet készen álljon arra, hogy az Azure Stack Hub a Microsoft Entra azonosítójában tárolja az Azure Stack Hub felhasználóiról, alkalmazásairól, csoportjairól és szolgáltatásneveiről szóló információkat.

A készültségi ellenőrző eszköz lekérése

Töltse le az Azure Stack Hub Készültségi ellenőrző eszköz (AzsReadinessChecker) legújabb verzióját a PowerShell-galéria.

Telepítés és konfigurálás

Az PowerShell

Előfeltételek

A következő előfeltételek szükségesek:

Az PowerShell-modulok

Telepítenie kell az Az PowerShell-modulokat. Útmutatásért lásd: A PowerShell Az előzetes verziójú modul telepítése.

Microsoft Entra környezet

• Azonosítsa az Azure Stack Hubhoz használni kívánt Microsoft Entra fiókot, és győződjön meg arról, hogy az Microsoft Entra globális rendszergazda.
• Azonosítsa a Microsoft Entra bérlő nevét. A bérlő nevének kell lennie a Microsoft Entra azonosító elsődleges tartományneve. Például contoso.onmicrosoft.com.

Az Azure-identitás ellenőrzésének lépései

1. Az előfeltételeknek megfelelő számítógépen nyisson meg egy emelt szintű PowerShell-parancssort, majd futtassa a következő parancsot az AzsReadinessChecker telepítéséhez:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. A PowerShell-parancssorban futtassa a következő parancsot. Cserélje le a elemet contoso.onmicrosoft.com a Microsoft Entra bérlő nevére:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. A PowerShell-parancssorban futtassa a következő parancsot a Microsoft Entra azonosító ellenőrzésének megkezdéséhez. Cserélje le a elemet contoso.onmicrosoft.com a Microsoft Entra bérlő nevére:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Az eszköz futtatása után tekintse át a kimenetet. Győződjön meg arról, hogy az állapot rendben van a telepítési követelményekhez. A sikeres érvényesítés az alábbi példához hasonlóan jelenik meg:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Előfeltételek

A következő előfeltételek szükségesek:

AzureRM PowerShell-modulok

Telepítenie kell az Az PowerShell-modulokat. Útmutatásért lásd: A PowerShell AzureRM-modul telepítése.

Az a számítógép, amelyen az eszköz fut

• Windows 10 vagy Windows Server 2016 internetkapcsolattal.
• PowerShell 5.1 vagy újabb. A verzió ellenőrzéséhez futtassa a következő PowerShell-parancsot, majd tekintse át a főverziót és az alverziót :

  $PSVersionTable.PSVersion
  

• Az Azure Stack Hubhoz konfigurált PowerShell.
• A Microsoft Azure Stack Hub Készültségi ellenőrző eszköz legújabb verziója.

Microsoft Entra környezet

• Azonosítsa az Azure Stack Hubhoz használni kívánt Microsoft Entra fiókot, és győződjön meg arról, hogy az Microsoft Entra globális rendszergazda.
• Azonosítsa a Microsoft Entra bérlő nevét. A bérlő nevének kell lennie a Microsoft Entra azonosító elsődleges tartományneve. Például contoso.onmicrosoft.com.
• Azonosítsa a használni kívánt Azure-környezetet. A környezetnév paraméter támogatott értékei az AzureCloud, az AzureChinaCloud vagy az AzureUSGovernment, attól függően, hogy melyik Azure-előfizetést használja.

Az Azure-identitás ellenőrzésének lépései

1. Az előfeltételeknek megfelelő számítógépen nyisson meg egy emelt szintű PowerShell-parancssort, majd futtassa a következő parancsot az AzsReadinessChecker telepítéséhez:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. A PowerShell-parancssorban futtassa a következő parancsot a Microsoft Entra bérlő szolgáltatásadminisztrátoraként való beállításához$serviceAdminCredential. Cserélje le a elemet serviceadmin\@contoso.onmicrosoft.com a fiókra és a bérlő nevére:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. A PowerShell-parancssorban futtassa a következő parancsot a Microsoft Entra azonosító ellenőrzésének megkezdéséhez:

   • Adja meg az AzureEnvironment környezeti névértékét. A környezetnév paraméter támogatott értékei az AzureCloud, az AzureChinaCloud vagy az AzureUSGovernment, attól függően, hogy melyik Azure-előfizetést használja.
   • Cserélje le a elemet contoso.onmicrosoft.com a Microsoft Entra bérlő nevére.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Az eszköz futtatása után tekintse át a kimenetet. Győződjön meg arról, hogy az állapot rendben van a telepítési követelményekhez. A sikeres érvényesítés az alábbi példához hasonlóan jelenik meg:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Jelentés és naplófájl

Az ellenőrzés minden futtatásakor naplózza az eredményeket az AzsReadinessChecker.log és az AzsReadinessCheckerReport.json fájlba. Ezeknek a fájloknak a helye megjelenik az érvényesítési eredményekkel a PowerShellben.

Ezek a fájlok segíthetnek megosztani az érvényesítési állapotot az Azure Stack Hub üzembe helyezése vagy az érvényesítési problémák kivizsgálása előtt. Mindkét fájl megőrzi az egyes későbbi ellenőrzési ellenőrzések eredményeit. A jelentés biztosítja az üzembehelyezési csapatnak az identitáskonfiguráció megerősítését. A naplófájl segíthet az üzembe helyezésben vagy a támogatási csapatban az érvényesítési problémák kivizsgálásában.

Alapértelmezés szerint mindkét fájl a következőre C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.jsonvan írva: .

• -OutputPath <path> A futtatás parancssorának végén található paraméterrel adjon meg egy másik jelentéshelyet.
• -CleanReport A futtatási parancs végén található paraméter használatával törölje az eszköz korábbi futtatásaira vonatkozó információkat az AzsReadinessCheckerReport.json fájlból.

További információ: Azure Stack Hub érvényesítési jelentés.

Érvényesítési hibák

Ha az ellenőrzés sikertelen, a hiba részletei megjelennek a PowerShell-ablakban. Az eszköz az AzsReadinessChecker.log fájlba is naplózza az adatokat.

Az alábbi példák útmutatást nyújtanak a gyakori érvényesítési hibákhoz.

Lejárt vagy ideiglenes jelszó

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Ok – A fiók nem tud bejelentkezni, mert a jelszó lejárt vagy ideiglenes.

Megoldás – A PowerShellben futtassa a következő parancsot, majd az utasításokat követve állítsa alaphelyzetbe a jelszót:

Login-AzureRMAccount

Egy másik módszer, ha fióktulajdonosként jelentkezik be a Azure Portal, és a felhasználónak módosítania kell a jelszót.

Ismeretlen felhasználótípus

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Ok – A fiók nem tud bejelentkezni a megadott Microsoft Entra-azonosítóba (AADDirectoryTenantName). Ebben a példában az AzureChinaCloud az AzureEnvironment.

Megoldás – Ellenőrizze, hogy a fiók érvényes-e a megadott Azure-környezetre. A PowerShellben futtassa a következő parancsot annak ellenőrzéséhez, hogy a fiók érvényes-e egy adott környezetre:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

A fiók nem rendszergazda

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Ok – Bár a fiók sikeresen bejelentkezhet, a fiók nem a Microsoft Entra azonosító (AADDirectoryTenantName) rendszergazdája.

Megoldás – Jelentkezzen be a Azure Portal fióktulajdonosként, lépjen Microsoft Entra azonosítóra, majd a Felhasználók, majd a Felhasználó kiválasztása elemre. Ezután válassza a Címtárszerepkör lehetőséget, és győződjön meg arról, hogy a felhasználó globális rendszergazda. Ha a fiók felhasználó, lépjen Microsoft Entraegyéni tartománynevekazonosítójára>, és győződjön meg arról, hogy az AADDirectoryTenantName számára megadott név a címtár elsődleges tartományneveként van megjelölve. Ebben a példában ez contoso.onmicrosoft.com.

Az Azure Stack Hub megköveteli, hogy a tartománynév legyen az elsődleges tartománynév.

Következő lépések

Azure-regisztráció ellenőrzése
A készültségi jelentés megtekintése
Az Azure Stack Hub általános integrációs szempontjai