Convalida identità di AzureValidate Azure identity

Usare lo strumento di controllo di conformità dell'hub Azure Stack ( AzsReadinessChecker ) per verificare che il Azure Active Directory (Azure ad) sia pronto per l'uso con l'hub Azure stack.Use the Azure Stack Hub Readiness Checker tool ( AzsReadinessChecker ) to validate that your Azure Active Directory (Azure AD) is ready to use with Azure Stack Hub. Convalidare la soluzione di identità di Azure prima di iniziare una distribuzione di Azure Stack Hub.Validate your Azure identity solution before you begin an Azure Stack Hub deployment.

Il controllo di conformità convalida:The readiness checker validates:

  • Azure AD come provider di identità per Azure Stack Hub.Azure AD as an identity provider for Azure Stack Hub.
  • L'account Azure AD che si prevede di utilizzare può accedere come amministratore globale della Azure AD.The Azure AD account that you plan to use can sign in as a global administrator of your Azure AD.

La convalida assicura che l'ambiente sia pronto per Azure Stack hub per archiviare le informazioni su utenti, applicazioni, gruppi ed entità servizio dall'hub Azure Stack nel Azure AD.Validation ensures your environment is ready for Azure Stack Hub to store information about users, applications, groups, and service principals from Azure Stack Hub in your Azure AD.

Ottenere lo strumento di controllo dello stato di preparazioneGet the readiness checker tool

Scaricare la versione più recente dello strumento di controllo di conformità dell'hub Azure Stack (AzsReadinessChecker) dall' PowerShell Gallery.Download the latest version of the Azure Stack Hub Readiness Checker tool (AzsReadinessChecker) from the PowerShell Gallery.

Installazione e configurazioneInstall and configure

PrerequisitiPrerequisites

Sono richiesti i prerequisiti seguenti:The following prerequisites are required:

AZ PowerShell ModulesAz PowerShell modules

È necessario che siano installati i moduli AZ PowerShell.You will need to have the Az PowerShell modules installed. Per istruzioni, vedere Install PowerShell AZ Preview Module.For instructions, see Install PowerShell Az preview module.

Ambiente Azure Active Directory (Azure AD)Azure Active Directory (Azure AD) environment

  • Identificare l'account Azure AD da usare per l'hub Azure Stack e assicurarsi che si tratta di un amministratore Azure AD globale.Identify the Azure AD account to use for Azure Stack Hub and ensure it's an Azure AD global administrator.
  • Identificare il nome del tenant Azure AD.Identify your Azure AD tenant name. Il nome del tenant deve essere il nome di dominio primario per la Azure AD.The tenant name must be the primary domain name for your Azure AD. Ad esempio, contoso.onmicrosoft.com.For example, contoso.onmicrosoft.com.

Passaggi per convalidare l'identità di AzureSteps to validate Azure identity

  1. In un computer che soddisfi i prerequisiti, aprire un prompt dei comandi di PowerShell con privilegi elevati e quindi eseguire il comando seguente per installare AzsReadinessChecker :On a computer that meets the prerequisites, open an elevated PowerShell command prompt, and then run the following command to install AzsReadinessChecker :

    Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
    Install-AzProfile -Profile 2019-03-01-hybrid -Force
    Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
    
  2. Al prompt di PowerShell eseguire il comando seguente.From the PowerShell prompt, run the following command. Sostituire contoso.onmicrosoft.com con il nome del tenant Azure ad:Replace contoso.onmicrosoft.com with your Azure AD tenant name:

    Connect-AzAccount -tenant contoso.onmicrosoft.com
    
  3. Al prompt di PowerShell eseguire il comando seguente per avviare la convalida del Azure AD.From the PowerShell prompt, run the following command to start validation of your Azure AD. Sostituire contoso.onmicrosoft.com con il nome del tenant Azure ad:Replace contoso.onmicrosoft.com with your Azure AD tenant name:

    Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
    
  4. Dopo l'esecuzione dello strumento, esaminare l'output.After the tool runs, review the output. Verificare che lo stato sia OK per i requisiti di installazione.Confirm the status is OK for installation requirements. Una convalida corretta viene visualizzata come nell'esempio seguente:A successful validation appears like the following example:

    Invoke-AzsAzureIdentityValidation v1.2005.1269 started.
    Starting Azure Identity Validation
    
    Checking Installation Requirements: OK
    
    Finished Azure Identity Validation
    
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
    Invoke-AzsAzureIdentityValidation Completed
    

Report e file di logReport and log file

Ogni volta che viene eseguita la convalida, registra i risultati in AzsReadinessChecker. log e AzsReadinessCheckerReport.js.Each time validation runs, it logs results to AzsReadinessChecker.log and AzsReadinessCheckerReport.json. Il percorso di questi file viene visualizzato con i risultati della convalida in PowerShell.The location of these files displays with the validation results in PowerShell.

Questi file possono aiutare a condividere lo stato di convalida prima di distribuire Azure Stack Hub o analizzare i problemi di convalida.These files can help you share validation status before you deploy Azure Stack Hub or investigate validation problems. Entrambi i file salvano in modo permanente i risultati di ogni controllo di convalida successivo.Both files persist the results of each subsequent validation check. Il report fornisce al team di distribuzione la conferma della configurazione dell'identità.The report provides your deployment team confirmation of the identity configuration. Il file di log può aiutare la distribuzione o il team di supporto a esaminare i problemi di convalida.The log file can help your deployment or support team investigate validation issues.

Per impostazione predefinita, entrambi i file vengono scritti in C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json .By default, both files are written to C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

  • Usare il -OutputPath <path> parametro alla fine della riga di comando Run per specificare un percorso del report diverso.Use the -OutputPath <path> parameter at the end of the run command line to specify a different report location.
  • Usare il -CleanReport parametro alla fine del comando Run per cancellare le informazioni sulle esecuzioni precedenti dello strumento da AzsReadinessCheckerReport.json.Use the -CleanReport parameter at the end of the run command to clear information about previous runs of the tool from AzsReadinessCheckerReport.json.

Per ulteriori informazioni, vedere Azure stack report di convalida dell'hub.For more information, see Azure Stack Hub validation report.

Errori di convalidaValidation failures

Se un controllo di convalida ha esito negativo, dettagli sull'errore vengono visualizzati nella finestra di PowerShell.If a validation check fails, details about the failure display in the PowerShell window. Lo strumento registra inoltre le informazioni nel file AzsReadinessChecker. log.The tool also logs information to the AzsReadinessChecker.log file.

Gli esempi seguenti forniscono indicazioni sugli errori comuni di convalida.The following examples provide guidance on common validation failures.

Password scaduta o temporaneaExpired or temporary password

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa : l'account non può accedere perché la password è scaduta o temporanea.Cause - The account can't sign in because the password is either expired or temporary.

Risoluzione : in PowerShell eseguire il comando seguente e quindi seguire le istruzioni per reimpostare la password:Resolution - In PowerShell, run the following command and then follow the prompts to reset the password:

Login-AzureRMAccount

Un altro modo consiste nell'accedere al portale di Azure come proprietario dell'account e l'utente verrà forzato a modificare la password.Another way is to sign in to the Azure portal as the account owner and the user will be forced to change the password.

Tipo di utente sconosciutoUnknown user type

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa : l'account non può accedere al Azure ad specificato ( AADDirectoryTenantName ).Cause - The account can't sign in to the specified Azure AD ( AADDirectoryTenantName ). In questo esempio, AzureChinaCloud viene specificato come AzureEnvironment.In this example, AzureChinaCloud is specified as the AzureEnvironment.

Soluzione : verificare che l'account sia valido per l'ambiente Azure specificato.Resolution - Confirm that the account is valid for the specified Azure environment. In PowerShell eseguire il comando seguente per verificare che l'account sia valido per un ambiente specifico:In PowerShell, run the following command to verify the account is valid for a specific environment:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

L'account non è un amministratoreAccount is not an administrator

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa : Sebbene l'account possa eseguire correttamente l'accesso, l'account non è un amministratore del Azure ad ( AADDirectoryTenantName ).Cause - Although the account can successfully sign in, the account isn't an admin of the Azure AD ( AADDirectoryTenantName ).

Soluzione : accedere al portale di Azure come proprietario dell'account, passare a Azure Active Directory , quindi a utenti , quindi selezionare l'utente.Resolution - Sign in into the Azure portal as the account owner, go to Azure Active Directory , then Users , then Select the User. Quindi selezionare ruolo della directory e assicurarsi che l'utente sia un amministratore globale.Then select Directory Role and ensure the user is a Global administrator. Se l'account è un utente , passare a Azure Active Directory > nomi di dominio personalizzati e verificare che il nome specificato per AADDirectoryTenantName sia contrassegnato come nome di dominio primario per la directory.If the account is a User , go to Azure Active Directory > Custom domain names and confirm that the name you supplied for AADDirectoryTenantName is marked as the primary domain name for this directory. In questo esempio è contoso.onmicrosoft.com.In this example, that's contoso.onmicrosoft.com.

Azure Stack Hub richiede che il nome di dominio sia il nome di dominio primario.Azure Stack Hub requires that the domain name is the primary domain name.

Passaggi successiviNext Steps

Convalidare la registrazione di AzureValidate Azure registration
Visualizzare il report di conformitàView the readiness report
Considerazioni generali sull'integrazione dell'hub Azure StackGeneral Azure Stack Hub integration considerations