Multitenancy configureren in Azure Stack hubConfigure multi-tenancy in Azure Stack Hub

U kunt Azure Stack hub configureren voor de ondersteuning van gebruikers van meerdere Azure Active Directory (Azure AD)-tenants, zodat deze services kunnen gebruiken in Azure Stack hub.You can configure Azure Stack Hub to support users from multiple Azure Active Directory (Azure AD) tenants, allowing them to use services in Azure Stack Hub. Denk bijvoorbeeld eens aan het volgende scenario:For example, consider the following scenario:

  • U bent de service beheerder van contoso.onmicrosoft.com, waarbij Azure Stack hub is geïnstalleerd.You're the service administrator of contoso.onmicrosoft.com, where Azure Stack Hub is installed.
  • Mary is de Directory beheerder van fabrikam.onmicrosoft.com, waar gast gebruikers zich bevinden.Mary is the directory administrator of fabrikam.onmicrosoft.com, where guest users are located.
  • Het bedrijf van Mary ontvangt IaaS-en PaaS-services van uw bedrijf en moet gebruikers van de gast Directory (fabrikam.onmicrosoft.com) toestaan zich aan te melden en Azure Stack hub-resources in contoso.onmicrosoft.com te gebruiken.Mary's company receives IaaS and PaaS services from your company and needs to allow users from the guest directory (fabrikam.onmicrosoft.com) to sign in and use Azure Stack Hub resources in contoso.onmicrosoft.com.

Deze hand leiding bevat de stappen die vereist zijn in de context van dit scenario om multitenancy te configureren in Azure Stack hub.This guide provides the steps required, in the context of this scenario, to configure multi-tenancy in Azure Stack Hub. In dit scenario moeten u en Mary stappen volt ooien om gebruikers van Fabrikam in staat te stellen zich aan te melden en services te gebruiken van de implementatie van Azure Stack hub in contoso.In this scenario, you and Mary must complete steps to enable users from Fabrikam to sign in and consume services from the Azure Stack Hub deployment in Contoso.

Als u een Cloud Solution Provider (CSP) bent, kunt u op andere manieren een multi tenant-Azure stack hub configureren en beheren.If you're a Cloud Solution Provider (CSP), you have additional ways you can configure and manage a multi-tenant Azure Stack Hub.

Multitenancy inschakelenEnable multi-tenancy

Er zijn enkele vereisten voor account voor voordat u multitenancy in Azure Stack hub configureert:There are a few prerequisites to account for before you configure multi-tenancy in Azure Stack Hub:

  • U en Mary moeten administratieve stappen coördineren voor zowel de Directory Azure Stack hub is geïnstalleerd in (Contoso) als de gast Directory (fabrikam).You and Mary must coordinate administrative steps across both the directory Azure Stack Hub is installed in (Contoso), and the guest directory (Fabrikam).

  • Zorg ervoor dat Power shell voor Azure Stack hub is geïnstalleerd en geconfigureerd .Make sure you've installed and configured PowerShell for Azure Stack Hub.

  • Down load de Azure stack hub-Hulpprogram ma'sen importeer de modules Connect en Identity:Download the Azure Stack Hub Tools, and import the Connect and Identity modules:

    Import-Module .\Identity\AzureStack.Identity.psm1
    

Azure Stack hub-Directory configurerenConfigure Azure Stack Hub directory

In deze sectie configureert u Azure Stack hub zodanig dat aanmeldingen van Fabrikam Azure AD-adreslijst tenants zijn toegestaan.In this section, you configure Azure Stack Hub to allow sign-ins from Fabrikam Azure AD directory tenants.

De gast Directory-Tenant (fabrikam) voorbereiden op Azure Stack hub door Azure Resource Manager te configureren voor het accepteren van gebruikers en service-principals van de gast Directory-Tenant.Onboard the guest directory tenant (Fabrikam) to Azure Stack Hub by configuring Azure Resource Manager to accept users and service principals from the guest directory tenant.

De service beheerder van contoso.onmicrosoft.com voert de volgende opdrachten uit:The service admin of contoso.onmicrosoft.com runs the following commands:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest tenant directory. 
$guestDirectoryTenantToBeOnboarded = "fabrikam.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Gast Directory configurerenConfigure guest directory

Als de operator voor de Azure Stack hub de fabrikam-Directory heeft ingeschakeld voor gebruik met Azure Stack hub, moet Mary Azure Stack hub registreren bij de Directory-Tenant van fabrikam.Once the Azure Stack Hub operator has enabled the Fabrikam directory to be used with Azure Stack Hub, Mary must register Azure Stack Hub with Fabrikam's directory tenant.

Azure Stack hub registreren bij de gast DirectoryRegister Azure Stack Hub with the guest directory

Mary (adreslijst beheerder van Fabrikam) voert de volgende opdrachten uit in de fabrikam.onmicrosoft.com:Mary (directory admin of Fabrikam) runs the following commands in the guest directory fabrikam.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
$tenantARMEndpoint = "https://management.local.azurestack.external"
    
## Replace the value below with the guest tenant directory.
$guestDirectoryTenantName = "fabrikam.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Belangrijk

Als uw Azure Stack hub-beheerder nieuwe services of updates in de toekomst installeert, moet u dit script mogelijk opnieuw uitvoeren.If your Azure Stack Hub administrator installs new services or updates in the future, you may need to run this script again.

Voer dit script op elk gewenst moment opnieuw uit om de status van de Azure Stack hub-apps in uw directory te controleren.Run this script again at any time to check the status of the Azure Stack Hub apps in your directory.

Als u problemen hebt met het maken van Vm's in Managed Disks (geïntroduceerd in de 1808-update), is er een nieuwe schijf resource provider toegevoegd die vereist dat dit script opnieuw wordt uitgevoerd.If you've noticed issues with creating VMs in Managed Disks (introduced in the 1808 update), a new Disk Resource Provider was added requiring this script to be run again.

Directe gebruikers om zich aan te meldenDirect users to sign in

Nu u en Mary de stappen hebt voltooid om de map van Mary uit te voeren, kan Mary de fabrikam-gebruikers door sturen om zich aan te melden.Now that you and Mary have completed the steps to onboard Mary's directory, Mary can direct Fabrikam users to sign in. Fabrikam-gebruikers (gebruikers met het achtervoegsel fabrikam.onmicrosoft.com) Meld u aan met behulp van HTTPS : //Portal.local.azurestack.external.Fabrikam users (users with the fabrikam.onmicrosoft.com suffix) sign in by visiting https://portal.local.azurestack.external.

Mary leidt elke externe Principal in de fabrikam-Directory (gebruikers in de map fabrikam zonder het achtervoegsel van fabrikam.onmicrosoft.com) om zich aan te melden met behulp van HTTPS : //Portal.local.azurestack.external/fabrikam.onmicrosoft.com.Mary will direct any foreign principals in the Fabrikam directory (users in the Fabrikam directory without the suffix of fabrikam.onmicrosoft.com) to sign in using https://portal.local.azurestack.external/fabrikam.onmicrosoft.com. Als ze deze URL niet gebruiken, worden ze verzonden naar de standaard directory (fabrikam) en wordt er een fout bericht weer gegeven met de mede deling dat de beheerder niet heeft ingestemd.If they don't use this URL, they're sent to their default directory (Fabrikam) and receive an error that says their administrator hasn't consented.

Multitenancy uitschakelenDisable multi-tenancy

Als u niet langer meerdere tenants in Azure Stack hub wilt, kunt u multitenancy uitschakelen door de volgende stappen uit te voeren in de aangegeven volg orde:If you no longer want multiple tenants in Azure Stack Hub, you can disable multi-tenancy by doing the following steps in order:

  1. Als beheerder van de gast Directory (Mary in dit scenario) voert u unregister-AzsWithMyDirectoryTenant uit.As the administrator of the guest directory (Mary in this scenario), run Unregister-AzsWithMyDirectoryTenant. Met de cmdlet worden alle Azure Stack hub-apps verwijderd uit de nieuwe map.The cmdlet uninstalls all the Azure Stack Hub apps from the new directory.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest tenant directory.
    $guestDirectoryTenantName = "fabrikam.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. Als service beheerder van Azure Stack hub (u in dit scenario) voert u unregister-AzSGuestDirectoryTenant uit.As the service administrator of Azure Stack Hub (you in this scenario), run Unregister-AzSGuestDirectoryTenant.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest tenant directory. 
    $guestDirectoryTenantToBeDecommissioned = "fabrikam.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Waarschuwing

    De stappen voor het uitschakelen van meerdere pacht moeten in volg orde worden uitgevoerd.The disable multi-tenancy steps must be performed in order. De stap #1 mislukt als de stap #2 eerst wordt voltooid.Step #1 fails if step #2 is completed first.

Status rapport van Azure Stack hub-identiteit ophalenRetrieve Azure Stack Hub identity health report

Vervang de <region> <domain> tijdelijke aanduidingen,, en voer <homeDirectoryTenant> de volgende cmdlet uit als Azure stack hub-beheerder.Replace the <region>, <domain>, and <homeDirectoryTenant> placeholders, then execute the following cmdlet as the Azure Stack Hub administrator.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Tenant machtigingen voor Azure AD bijwerkenUpdate Azure AD tenant permissions

Met deze actie wordt de waarschuwing in Azure Stack hub gewist, waarmee wordt aangegeven dat een Directory vereist dat een update wordt uitgevoerd.This action will clear the alert in Azure Stack Hub, indicating that a directory requires an update. Voer de volgende opdracht uit vanuit de map Azurestack-tools-Master/Identity :Run the following command from the Azurestack-tools-master/identity folder:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

Het script vraagt u om beheerders referenties voor de Azure AD-Tenant en duurt enkele minuten om uit te voeren.The script prompts you for administrative credentials on the Azure AD tenant, and takes several minutes to run. De waarschuwing moet worden gewist nadat u de cmdlet hebt uitgevoerd.The alert should clear after you run the cmdlet.

Volgende stappenNext steps