Azure-identiteit valideren

Gebruik het hulpprogramma Azure Stack Hub Readiness Checker (AzsReadinessChecker) om te controleren of uw Azure Active Directory (Azure AD) gereed is voor gebruik met Azure Stack Hub. Valideer uw Azure-identiteitsoplossing voordat u begint met Azure Stack Hub implementatie.

De gereedheidscontrole valideert:

• Azure AD als id-provider voor Azure Stack Hub.
• Het Azure AD-account dat u wilt gebruiken, kan zich aanmelden als globale beheerder van uw Azure AD.

Validatie zorgt ervoor dat uw omgeving gereed is Azure Stack Hub voor het opslaan van informatie over gebruikers, toepassingen, groepen en service-principals van Azure Stack Hub in uw Azure AD.

Het hulpprogramma voor gereedheidscontrole op halen

Download de nieuwste versie van het Azure Stack Hub Readiness Checker (AzsReadinessChecker) van de PowerShell Gallery.

Installeren en configureren

Az PowerShell

Vereisten

De volgende vereisten zijn vereist:

Az PowerShell-modules

U moet de Az PowerShell-modules hebben geïnstalleerd. Zie Install PowerShell Az preview module (PowerShell Az preview-module installeren) voor instructies.

Azure Active Directory (Azure AD)-omgeving

• Identificeer het Azure AD-account dat moet worden gebruikt Azure Stack Hub en zorg ervoor dat het een globale beheerder van Azure AD is.
• Identificeer de naam van uw Azure AD-tenant. De tenantnaam moet de primaire domeinnaam voor uw Azure AD zijn. Bijvoorbeeld: contoso.onmicrosoft.com.

Stappen voor het valideren van azure-identiteit

1. Open een PowerShell-opdrachtprompt met verhoogde bevoegdheid op een computer die aan de vereisten voldoet en voer vervolgens de volgende opdracht uit om AzsReadinessChecker te installeren:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. Voer vanaf de PowerShell-prompt de volgende opdracht uit. Vervang contoso.onmicrosoft.com door de naam van uw Azure AD-tenant:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. Voer vanuit de PowerShell-prompt de volgende opdracht uit om de validatie van uw Azure AD te starten. Vervang contoso.onmicrosoft.com door de naam van uw Azure AD-tenant:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Nadat het hulpprogramma is uitgevoerd, controleert u de uitvoer. Controleer of de status ok is voor installatievereisten. Een geslaagde validatie wordt weergegeven zoals in het volgende voorbeeld:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Vereisten

De volgende vereisten zijn vereist:

AzureRM PowerShell-modules

U moet de Az PowerShell-modules hebben geïnstalleerd. Zie PowerShell AzureRM-module installeren voor instructies.

De computer waarop het hulpprogramma wordt uitgevoerd

• Windows 10 of Windows Server 2016 met internetverbinding.
• PowerShell 5.1 of hoger. Voer de volgende PowerShell-opdracht uit om uw versie te controleren en controleer vervolgens de hoofdversie en secundaire versies:

  $PSVersionTable.PSVersion
  

• PowerShell geconfigureerd voor Azure Stack Hub.
• De nieuwste versie van Microsoft Azure Stack Hub-gereedheidscontroleprogramma.

Azure AD-omgeving

• Identificeer het Azure AD-account dat moet worden gebruikt Azure Stack Hub en zorg ervoor dat het een globale beheerder van Azure AD is.
• Identificeer de naam van uw Azure AD-tenant. De tenantnaam moet de primaire domeinnaam voor uw Azure AD zijn. Bijvoorbeeld: contoso.onmicrosoft.com.
• Identificeer de Azure-omgeving die u gaat gebruiken. Ondersteunde waarden voor de parameter omgevingsnaam zijn AzureCloud, AzureChinaCloud of AzureUSGovernment, afhankelijk van welk Azure-abonnement u gebruikt.

Stappen voor het valideren van azure-identiteit

1. Open een PowerShell-opdrachtprompt met verhoogde bevoegdheid op een computer die aan de vereisten voldoet en voer vervolgens de volgende opdracht uit om AzsReadinessChecker te installeren:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. Voer vanuit de PowerShell-prompt de volgende opdracht uit om in te $serviceAdminCredential stellen als de servicebeheerder voor uw Azure AD-tenant. Vervang serviceadmin\@contoso.onmicrosoft.com door uw account en tenantnaam:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. Voer vanuit de PowerShell-prompt de volgende opdracht uit om de validatie van uw Azure AD te starten:

   • Geef de waarde van de omgevingsnaam op voor AzureEnvironment. Ondersteunde waarden voor de parameter omgevingsnaam zijn AzureCloud, AzureChinaCloud of AzureUSGovernment, afhankelijk van welk Azure-abonnement u gebruikt.
   • Vervang contoso.onmicrosoft.com door de naam van uw Azure AD-tenant.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Nadat het hulpprogramma is uitgevoerd, controleert u de uitvoer. Controleer of de status ok is voor installatievereisten. Een geslaagde validatie wordt weergegeven zoals in het volgende voorbeeld:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Rapport- en logboekbestand

Telkens als de validatie wordt uitgevoerd, worden de resultaten bij AzsReadinessChecker.log en AzsReadinessCheckerReport.json bijgelogd. De locatie van deze bestanden wordt weergegeven met de validatieresultaten in PowerShell.

Deze bestanden kunnen u helpen bij het delen van de validatiestatus voordat u Azure Stack Hub of validatieproblemen onderzoekt. Beide bestanden bevatten de resultaten van elke volgende validatiecontrole. Het rapport geeft uw implementatieteam een bevestiging van de identiteitsconfiguratie. Het logboekbestand kan uw implementatie- of ondersteuningsteam helpen bij het onderzoeken van validatieproblemen.

Standaard worden beide bestanden naar geschreven C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

• Gebruik de -OutputPath <path> parameter aan het einde van de opdrachtregel uitvoeren om een andere rapportlocatie op te geven.
• Gebruik de -CleanReport parameter aan het einde van de run-opdracht om informatie over eerdere runs van het hulpprogramma uit -CleanReport

Zie voor meer informatie Azure Stack Hub validatierapport.

Validatiefouten

Als een validatiecontrole mislukt, worden details over de fout weergegeven in het PowerShell-venster. Het hulpprogramma registreert ook informatie in het bestand AzsReadinessChecker.log.

De volgende voorbeelden bieden richtlijnen voor veelvoorkomende validatiefouten.

Verlopen of tijdelijk wachtwoord

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Oorzaak : het account kan zich niet aanmelden omdat het wachtwoord is verlopen of tijdelijk is.

Oplossing : voer in PowerShell de volgende opdracht uit en volg de aanwijzingen om het wachtwoord opnieuw in te stellen:

Login-AzureRMAccount

Een andere manier is om u aan te melden bij de Azure Portal als de accounteigenaar en de gebruiker wordt gedwongen het wachtwoord te wijzigen.

Onbekend gebruikerstype

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Oorzaak : het account kan zich niet aanmelden bij de opgegeven Azure AD (AADDirectoryTenantName). In dit voorbeeld wordt AzureChinaCloud opgegeven als de AzureEnvironment.

Oplossing : controleer of het account geldig is voor de opgegeven Azure-omgeving. Voer in PowerShell de volgende opdracht uit om te controleren of het account geldig is voor een specifieke omgeving:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Account is geen beheerder

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Oorzaak : hoewel het account zich kan aanmelden, is het account geen beheerder van de Azure AD (AADDirectoryTenantName).

Oplossing: meld u aan bij Azure Portal accounteigenaar, ga naar Azure Active Directory, vervolgens Gebruikers en selecteer de gebruiker. Selecteer vervolgens Directoryrol en controleer of de gebruiker een Globale beheerder. Als het account een gebruiker is, gaat u naar Azure Active Directory Aangepliceerde domeinnamen en controleert u of de naam die u hebt opgegeven voor AADDirectoryTenantName is gemarkeerd als de primaire domeinnaam voor deze directory. In dit voorbeeld is dat contoso.onmicrosoft.com.

Azure Stack Hub vereist dat de domeinnaam de primaire domeinnaam is.

Volgende stappen

Azure-registratie valideren
Het gereedheidsrapport weergeven
Algemene Azure Stack Hub integratie