Azure 등록 관리Manage Azure registration

Azure Stack HCI v20H2에 적용 됩니다.Applies to Azure Stack HCI v20H2

Azure Stack HCI 클러스터를 만든 후에는 Azure Arc로 클러스터를 등록해야 합니다. 클러스터가 등록 되 면 온-프레미스 클러스터와 클라우드 간에 주기적으로 정보를 동기화 합니다.Once you've created an Azure Stack HCI cluster, you must register the cluster with Azure Arc. Once the cluster is registered, it periodically syncs information between the on-premises cluster and the cloud. 이 항목에서는 등록 상태를 이해 하 고, 사용 권한을 Azure Active Directory 부여 하 고, 클러스터를 서비스 해제할 준비가 될 때 해당 클러스터의 등록을 취소 하는 방법을 설명 합니다.This topic explains how to understand your registration status, grant Azure Active Directory permissions, and unregister your cluster when you're ready to decommission it.

등록 상태 이해Understanding registration status

등록 상태를 이해 하려면 Get-AzureStackHCI PowerShell cmdlet 및 ClusterStatus , RegistrationStatus 및 속성을 사용 ConnectionStatus 합니다.To understand registration status, use the Get-AzureStackHCI PowerShell cmdlet and the ClusterStatus, RegistrationStatus, and ConnectionStatus properties. 예를 들어 Azure Stack HCI 운영 체제를 설치한 후 클러스터를 만들거나 조인 하기 전에 ClusterStatus 속성에 "아직 없음" 상태가 표시 됩니다.For example, after installing the Azure Stack HCI operating system, before creating or joining a cluster, the ClusterStatus property shows "not yet" status:

클러스터 만들기 전 Azure 등록 상태

클러스터가 만들어지면 RegistrationStatus "아직" 안 됨 "상태만 표시 됩니다.Once the cluster is created, only RegistrationStatus shows "not yet" status:

클러스터를 만든 후의 Azure 등록 상태

Azure Stack HCI는 Azure Online Services 약관에 따라 30 일 이내에 등록 해야 합니다.Azure Stack HCI needs to register within 30 days of installation per the Azure Online Services Terms. 30 일 후에 클러스터링 되지 않은 경우 ClusterStatus 이 표시 되 OutOfPolicy 고 30 일 후에 등록 되지 않은 경우 RegistrationStatus 이 표시 됩니다 OutOfPolicy .If not clustered after 30 days, the ClusterStatus will show OutOfPolicy, and if not registered after 30 days, the RegistrationStatus will show OutOfPolicy.

클러스터가 등록 되 면 ConnectionStatus LastConnected 클러스터를 인터넷에서 일시적으로 연결 하지 않는 한 일반적으로 마지막 날 이내에 및 시간을 확인할 수 있습니다.Once the cluster is registered, you can see the ConnectionStatus and LastConnected time, which is usually within the last day unless the cluster is temporarily disconnected from the Internet. Azure Stack HCI 클러스터는 최대 30 일 동안 완전히 오프 라인으로 작동할 수 있습니다.An Azure Stack HCI cluster can operate fully offline for up to 30 consecutive days.

등록 후 Azure 등록 상태

최대 기간을 초과 하는 경우에는이 ConnectionStatus 표시 됩니다 OutOfPolicy .If that maximum period is exceeded, the ConnectionStatus will show OutOfPolicy.

앱 사용 권한 Azure Active DirectoryAzure Active Directory app permissions

구독에서 Azure 리소스를 만드는 것 외에도 Azure Stack HCI를 등록 하면 Azure Active Directory 테 넌 트에서 사용자와 개념적으로 유사한 앱 id가 생성 됩니다.In addition to creating an Azure resource in your subscription, registering Azure Stack HCI creates an app identity, conceptually similar to a user, in your Azure Active Directory tenant. 앱 ID는 클러스터 이름을 상속합니다.The app identity inherits the cluster name. 이 ID는 Azure Stack HCI 클라우드 서비스를 대신하여 구독 내에서 적절하게 작동합니다.This identity acts on behalf on the Azure Stack HCI cloud service, as appropriate, within your subscription.

를 실행 하는 사용자가 Register-AzureStackHCI Azure Active Directory 관리자 이거나 충분 한 권한을 위임 받은 경우이 모두 자동으로 수행 되며 추가 작업은 필요 하지 않습니다.If the user who runs Register-AzureStackHCI is an Azure Active Directory administrator or has been delegated sufficient permissions, this all happens automatically, and no additional action is required. 그렇지 않으면 Azure Active Directory 관리자에 게 등록을 완료 하기 위해 승인이 필요할 수 있습니다.If not, approval may be needed from your Azure Active Directory administrator to complete registration. 관리자는 앱에 대 한 동의를 명시적으로 부여 하거나, 앱에 대 한 동의를 부여할 수 있도록 권한을 위임할 수 있습니다.Your administrator can either explicitly grant consent to the app, or they can delegate permissions so that you can grant consent to the app:

Azure Active Directory 권한 및 id 다이어그램

동의를 부여 하려면 portal.azure.com 을 열고 Azure Active Directory에 대 한 충분 한 권한이 있는 azure 계정으로 로그인 합니다.To grant consent, open portal.azure.com and sign in with an Azure account that has sufficient permissions on the Azure Active Directory. Azure Active Directory 로 이동한 다음 앱 등록 합니다.Navigate to Azure Active Directory, then App registrations. 클러스터 후에 명명 된 앱 id를 선택 하 고 API 권한 으로 이동 합니다.Select the app identity named after your cluster and navigate to API permissions.

Azure Stack HCI의 GA (일반 공급) 릴리스에 대해 앱에는 공개 미리 보기에 필요한 앱 권한과 다른 다음 권한이 필요 합니다.For the General Availability (GA) release of Azure Stack HCI, the app requires the following permissions, which are different than the app permissions required in Public Preview:

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.Read

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Cluster.ReadWrite

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.Read

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.ClusterNode.ReadWrite

공개 미리 보기의 경우 앱 사용 권한이 (이제는 사용 되지 않음)입니다.For Public Preview, the app permissions were (these are now deprecated):

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Census.Sync

https://azurestackhci-usage.trafficmanager.net/AzureStackHCI.Billing.Sync

Azure Active Directory 관리자의 승인을 검색 하는 데 시간이 걸릴 수 있으므로 Register-AzureStackHCI cmdlet이 종료 되 고 등록을 "관리자 승인 보류 중" 상태로 유지 합니다. 즉, 부분적으로 완료 됩니다.Seeking approval from your Azure Active Directory administrator could take some time, so the Register-AzureStackHCI cmdlet will exit and leave the registration in status "pending admin consent," i.e. partially completed. 동의가 부여 되 면 다시 실행 Register-AzureStackHCI 하 여 등록을 완료 합니다.Once consent has been granted, simply re-run Register-AzureStackHCI to complete registration.

사용자 권한 Azure Active DirectoryAzure Active Directory user permissions

Register-AzStackHCI를 실행 하는 사용자에 게는 다음에 대 한 Azure AD 권한이 필요 합니다.The user who runs Register-AzStackHCI needs Azure AD permissions to:

  • Azure AD 응용 프로그램 만들기/가져오기/설정/제거 (New/Get/Set/Azureadapplication.applicationid)Create/Get/Set/Remove Azure AD applications (New/Get/Set/Remove-AzureADApplication)
  • Azure AD 서비스 주체 만들기/가져오기 (신규/Get-azureadserviceprincipal)Create/Get Azure AD service principal (New/Get-New-AzureADServicePrincipal)
  • AD 응용 프로그램 비밀 관리 (New/Get/AzureADApplicationKeyCredential)Manage AD application secrets (New/Get/Remove-AzureADApplicationKeyCredential)
  • 특정 응용 프로그램 사용 권한 사용 동의 (New/Get/Remove AzureADServiceAppRoleAssignments)Grant consent to use specific application permissions (New/Get/Remove AzureADServiceAppRoleAssignments)

이를 수행 하는 방법에는 세 가지가 있습니다.There are three ways in which this can be accomplished.

옵션 1: 모든 사용자가 응용 프로그램을 등록할 수 있도록 허용Option 1: Allow any user to register applications

Azure Active Directory에서 사용자 설정 > 앱 등록 으로 이동 합니다.In Azure Active Directory, navigate to User settings > App registrations. 사용자가 응용 프로그램을 등록할 수 있음 에서 를 선택 합니다.Under Users can register applications, select Yes.

이렇게 하면 모든 사용자가 응용 프로그램을 등록할 수 있습니다.This will allow any user to register applications. 그러나 클러스터 등록 중에는 사용자에 게 Azure AD 관리자가 동의를 부여 해야 합니다.However, the user will still require the Azure AD admin to grant consent during cluster registration. 이는 테 넌 트 수준 설정 이므로 대기업 고객에 게 적합 하지 않을 수 있습니다.Note that this is a tenant level setting, so it may not be suitable for large enterprise customers.

옵션 2: 클라우드 응용 프로그램 관리 역할 할당Option 2: Assign Cloud Application Administration role

기본 제공 "클라우드 응용 프로그램 관리" Azure AD 역할을 사용자에 게 할당 합니다.Assign the built-in "Cloud Application Administration" Azure AD role to the user. 이렇게 하면 사용자가 추가 AD 관리자 동의가 없어도 클러스터를 등록할 수 있습니다.This will allow the user to register clusters without the need for additional AD admin consent.

가장 제한적인 옵션은 Azure Stack HCI 서비스에 필요한 사용 권한에 대 한 테 넌 트 전체 관리자의 동의를 위임 하는 사용자 지정 동의 정책을 사용 하 여 사용자 지정 AD 역할을 만드는 것입니다.The most restrictive option is to create a custom AD role with a custom consent policy that delegates tenant-wide admin consent for required permissions to the Azure Stack HCI Service. 이 사용자 지정 역할을 할당 하면 사용자는 추가 AD 관리자 동의 없이 등록 하 고 동의를 부여할 수 있습니다.When assigned this custom role, users are able to both register and grant consent without the need for additional AD admin consent.

참고

이 옵션을 사용 하려면 Azure AD Premium 라이선스가 필요 하며, 현재 공개 미리 보기로 제공 되는 사용자 지정 동의 정책 기능 및 사용자 지정 AD 역할을 사용 해야 합니다.This option requires an Azure AD Premium license and uses custom AD roles and custom consent policy features which are currently in public preview.

  1. Azure AD에 연결:Connect to Azure AD:

    Connect-AzureAD
    
  2. 사용자 지정 동의 정책 만들기:Create a custom consent policy:

    New-AzureADMSPermissionGrantPolicy -Id "AzSHCI-registration-consent-policy" -DisplayName "Azure Stack HCI registration admin app consent policy" -Description "Azure Stack HCI registration admin app consent policy"
    
  3. Azure Stack HCI service에 대 한 필수 앱 권한을 포함 하는 조건을 추가 합니다 .이 서비스는 앱 ID 1322e676-de7-41ee-a874-ac923822781c를 전달 합니다.Add a condition that includes required app permissions for Azure Stack HCI service, which carries the app ID 1322e676-dee7-41ee-a874-ac923822781c. 다음 권한은 Azure Stack HCI의 GA 릴리스에 대 한 것으로, KB4586852 (2020 Preview 업데이트) 를 클러스터의 모든 서버에 적용 하 고 Az. StackHCI 모듈 버전 0.4.1 이상을 다운로드 한 경우를 제외 하 고는 공개 미리 보기에서 작동 하지 않습니다.Note that the following permissions are for the GA release of Azure Stack HCI, and will not work with Public Preview unless you have applied the November 23, 2020 Preview Update (KB4586852) to every server in your cluster and have downloaded the Az.StackHCI module version 0.4.1 or later.

    New-AzureADMSPermissionGrantConditionSet -PolicyId "AzSHCI-registration-consent-policy" -ConditionSetType "includes" -PermissionType "application" -ResourceApplication "1322e676-dee7-41ee-a874-ac923822781c" -Permissions "bbe8afc9-f3ba-4955-bb5f-1cfb6960b242","8fa5445e-80fb-4c71-a3b1-9a16a81a1966","493bd689-9082-40db-a506-11f40b68128f","2344a320-6a09-4530-bed7-c90485b5e5e2"
    
  4. 2 단계에서 만든 사용자 지정 동의 정책을 HCI Azure Stack 등록을 허용 하는 권한을 부여 합니다.Grant permissions to allow registering Azure Stack HCI, noting the custom consent policy created in Step 2:

    $displayName = "Azure Stack HCI Registration Administrator "
    $description = "Custom AD role to allow registering Azure Stack HCI "
    $templateId = (New-Guid).Guid
    $allowedResourceAction =
    @(
           "microsoft.directory/applications/createAsOwner",
           "microsoft.directory/applications/delete",
           "microsoft.directory/applications/standard/read",
           "microsoft.directory/applications/credentials/update",
           "microsoft.directory/applications/permissions/update",
           "microsoft.directory/servicePrincipals/appRoleAssignedTo/update",
           "microsoft.directory/servicePrincipals/appRoleAssignedTo/read",
           "microsoft.directory/servicePrincipals/appRoleAssignments/read",
           "microsoft.directory/servicePrincipals/createAsOwner",
           "microsoft.directory/servicePrincipals/credentials/update",
           "microsoft.directory/servicePrincipals/permissions/update",
           "microsoft.directory/servicePrincipals/standard/read",
           "microsoft.directory/servicePrincipals/managePermissionGrantsForAll.AzSHCI-registration-consent-policy"
    )
    $rolePermissions = @{'allowedResourceActions'= $allowedResourceAction}
    
  5. 새 사용자 지정 AD 역할을 만듭니다.Create the new custom AD role:

    $customADRole = New-AzureADMSRoleDefinition -RolePermissions $rolePermissions -DisplayName $displayName -Description $description -TemplateId $templateId -IsEnabled $true
    
  6. 다음 지침에 따라 Azure에 Azure Stack HCI 클러스터를 등록 하는 사용자에 게 새 사용자 지정 AD 역할을 할당 합니다.Assign the new custom AD role to the user who will register the Azure Stack HCI cluster with Azure by following these instructions.

Azure에서 Azure Stack HCI 등록 취소Unregister Azure Stack HCI with Azure

Azure Stack HCI 클러스터의 서비스를 해제할 준비가 되 면 cmdlet을 사용 Unregister-AzStackHCI 하 여 등록을 취소 합니다.When you're ready to decommission your Azure Stack HCI cluster, use the Unregister-AzStackHCI cmdlet to unregister. 이렇게 하면 Azure Arc를 통해 모든 모니터링, 지원 및 청구 기능이 중지 됩니다. 클러스터를 나타내는 Azure 리소스와 Azure Active Directory 앱 id가 삭제 되지만 리소스 그룹은 관련 없는 다른 리소스를 포함할 수 있기 때문에 리소스 그룹은 삭제 되지 않습니다.This stops all monitoring, support, and billing functionality through Azure Arc. The Azure resource representing the cluster and the Azure Active Directory app identity are deleted, but the resource group is not, because it may contain other unrelated resources.

클러스터 노드에서 cmdlet을 실행 하는 경우 Unregister-AzStackHCI 이 구문을 사용 하 고 등록을 취소 하려는 AZURE STACK HCI 클러스터의 리소스 이름 뿐만 아니라 Azure 구독 ID를 지정 합니다.If running the Unregister-AzStackHCI cmdlet on a cluster node, use this syntax and specify your Azure subscription ID as well as the resource name of the Azure Stack HCI cluster you wish to unregister:

Unregister-AzStackHCI -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001

다른 장치 (예: PC 또는 휴대폰)에서 microsoft.com/devicelogin를 방문 하 라는 메시지가 표시 되 면 코드를 입력 하 고 로그인 하 여 Azure에 인증 합니다.You'll be prompted to visit microsoft.com/devicelogin on another device (like your PC or phone), enter the code, and sign in there to authenticate with Azure.

관리 PC에서 cmdlet을 실행 하는 경우 클러스터의 서버 이름도 지정 해야 합니다.If running the cmdlet from a management PC, you'll also need to specify the name of a server in the cluster:

Unregister-AzStackHCI -ComputerName ClusterNode1 -SubscriptionId "e569b8af-6ecc-47fd-a7d5-2ac7f23d8bfe" -ResourceName HCI001

대화형 Azure 로그인 창이 팝업 됩니다.An interactive Azure login window will pop up. 표시 되는 정확한 메시지는 보안 설정 (예: 2 단계 인증)에 따라 달라 집니다.The exact prompts you see will vary depending on your security settings (e.g. two-factor authentication). 프롬프트에 따라 로그인 합니다.Follow the prompts to log in.

다음 단계Next steps

관련 정보는 다음 항목을 참조 하세요.For related information, see also: