Konfigurowanie wielu dzierżaw w usłudze Azure Stack Hub

Usługę Azure Stack Hub można skonfigurować tak, aby obsługiwała logowania użytkowników znajdujących się w innych katalogach Microsoft Entra, umożliwiając im korzystanie z usług w usłudze Azure Stack Hub. Te katalogi mają relację "gościa" z katalogiem usługi Azure Stack Hub i są traktowane jako dzierżawy Microsoft Entra gościa.

Rozważmy na przykład ten scenariusz:

• Jesteś administratorem usługi contoso.onmicrosoft.com, głównej dzierżawy Microsoft Entra, która zapewnia usługi zarządzania tożsamościami i dostępem do usługi Azure Stack Hub.
• Mary jest administratorem katalogu adatum.onmicrosoft.com, dzierżawą Microsoft Entra gościa, w której znajdują się użytkownicy-goście.
• Firma Mary 's (Adatum) korzysta z usług IaaS i PaaS firmy. Adatum chce zezwolić użytkownikom z katalogu gościa (adatum.onmicrosoft.com) na logowanie się i używanie zasobów usługi Azure Stack Hub zabezpieczonych przez contoso.onmicrosoft.com.

Ten przewodnik zawiera kroki wymagane w kontekście tego scenariusza w celu włączenia lub wyłączenia wielu dzierżaw w usłudze Azure Stack Hub dla dzierżawy katalogu gościa. Ty i Mary wykonasz ten proces, rejestrując lub wyrejestrując dzierżawę katalogu gościa, która włącza lub wyłącza logowania i użycie usług w usłudze Azure Stack Hub przez użytkowników usługi Adatum.

Jeśli jesteś dostawcą rozwiązań w chmurze (CSP), możesz skonfigurować wielodostępną usługę Azure Stack Hub i zarządzać nią.

Wymagania wstępne

Przed zarejestrowaniem lub wyrejestrowywaniem katalogu gościa ty i Mary musisz wykonać kroki administracyjne dla odpowiednich dzierżaw Microsoft Entra: katalogu macierzystego usługi Azure Stack Hub (Contoso) i katalogu gościa (Adatum):

• Instalowanie i konfigurowanie programu PowerShell dla usługi Azure Stack Hub.

• Pobierz narzędzia usługi Azure Stack Hub, a następnie zaimportuj moduły Connect and Identity:

  Import-Module .\Identity\AzureStack.Identity.psm1
  

Rejestrowanie katalogu gościa

Aby zarejestrować katalog gościa na potrzeby wielu dzierżaw, należy skonfigurować zarówno główny katalog usługi Azure Stack Hub, jak i katalog gościa.

Konfigurowanie katalogu usługi Azure Stack Hub

Jako administrator usługi contoso.onmicrosoft.com musisz najpierw dołączyć dzierżawę katalogu gościa Adatum do usługi Azure Stack Hub. Poniższy skrypt konfiguruje usługę Azure Resource Manager tak, aby akceptowała logowania użytkowników i jednostek usługi w dzierżawie adatum.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Konfigurowanie katalogu gościa

Następnie Mary (administrator katalogu Adatum) musi zarejestrować usługę Azure Stack Hub w katalogu gościa adatum.onmicrosoft.com, uruchamiając następujący skrypt:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Ważne

Jeśli administrator usługi Azure Stack Hub zainstaluje nowe usługi lub aktualizacje w przyszłości, może być konieczne ponowne uruchomienie tego skryptu.

Uruchom ten skrypt ponownie w dowolnym momencie, aby sprawdzić stan aplikacji usługi Azure Stack Hub w katalogu.

Jeśli zauważysz problemy z tworzeniem maszyn wirtualnych w Dyski zarządzane (wprowadzone w aktualizacji 1808), dodano nowego dostawcę zasobów dysku, co wymaga ponownego uruchomienia tego skryptu.

Kierowanie użytkowników do logowania

Na koniec Mary może skierować użytkowników aplikacji Adatum przy @adatum.onmicrosoft.com użyciu kont, aby się zalogować, odwiedzając portal użytkowników usługi Azure Stack Hub. W przypadku systemów wielowężowych adres URL portalu użytkowników jest sformatowany jako https://portal.<region>.<FQDN>. W przypadku wdrożenia zestawu ASDK adres URL to https://portal.local.azurestack.external.

Mary musi również skierować wszystkich podmiotów zagranicznych (użytkowników w katalogu Adatum bez sufiksu adatum.onmicrosoft.com), aby zalogować się przy użyciu .https://<user-portal-url>/adatum.onmicrosoft.com Jeśli dzierżawa katalogu nie zostanie określona /adatum.onmicrosoft.com w adresie URL, zostanie wysłana do katalogu domyślnego i zostanie wyświetlony komunikat o błędzie informujący, że administrator nie wyraził zgody.

Wyrejestrowywanie katalogu gościa

Jeśli nie chcesz już zezwalać na logowanie do usług Azure Stack Hub z dzierżawy katalogu gościa, możesz wyrejestrować katalog. Ponownie należy skonfigurować zarówno główny katalog usługi Azure Stack Hub, jak i katalog gościa:

1. Jako administrator katalogu gościa (Mary w tym scenariuszu) uruchom polecenie Unregister-AzsWithMyDirectoryTenant. Polecenie cmdlet odinstalowuje wszystkie aplikacje usługi Azure Stack Hub z nowego katalogu.

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
   $tenantARMEndpoint = "https://management.local.azurestack.external"
   
   ## Replace the value below with the guest directory tenant.
   $guestDirectoryTenantName = "adatum.onmicrosoft.com"
   
   Unregister-AzsWithMyDirectoryTenant `
    -TenantResourceManagerEndpoint $tenantARMEndpoint `
    -DirectoryTenantName $guestDirectoryTenantName `
    -Verbose 
   

2. Jako administrator usługi Azure Stack Hub (w tym scenariuszu Unregister-AzSGuestDirectoryTenant ) uruchom polecenie cmdlet:

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
   $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
   
   ## Replace the value below with the Azure Stack Hub directory
   $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
   
   ## Replace the value below with the guest directory tenant. 
   $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
   
   ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
   $ResourceGroupName = "system.local"
   
   Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
    -DirectoryTenantName $azureStackDirectoryTenant `
    -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
    -ResourceGroupName $ResourceGroupName
   

   Ostrzeżenie

   Kroki wyłączania wielu dzierżaw należy wykonać w kolejności. Krok 1 kończy się niepowodzeniem, jeśli krok 2 został ukończony jako pierwszy.

Pobieranie raportu kondycji tożsamości usługi Azure Stack Hub

Zastąp <region>symbole zastępcze , <domain>i <homeDirectoryTenant> , a następnie wykonaj następujące polecenie cmdlet jako administrator usługi Azure Stack Hub.

$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Aktualizowanie uprawnień dzierżawy Microsoft Entra

Ta akcja powoduje wyczyszczenie alertu w usłudze Azure Stack Hub, co oznacza, że katalog wymaga aktualizacji. Uruchom następujące polecenie z folderu Azurestack-tools-master/identity :

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

Skrypt monituje o poświadczenia administracyjne w dzierżawie Microsoft Entra i trwa kilka minut. Alert jest czyszczy po uruchomieniu polecenia cmdlet.

Rejestrowanie katalogu gościa

Aby zarejestrować katalog gościa na potrzeby wielu dzierżaw, należy skonfigurować zarówno główny katalog usługi Azure Stack Hub, jak i katalog gościa.

Konfigurowanie katalogu usługi Azure Stack Hub

Pierwszym krokiem jest uświadomienie systemowi usługi Azure Stack Hub katalogu gościa. W tym przykładzie katalog firmy Mary's, Adatum, nosi nazwę adatum.onmicrosoft.com.

1. Zaloguj się do portalu administratora usługi Azure Stack Hub i przejdź do pozycji Wszystkie usługi — katalogi.

   

2. Wybierz pozycję Dodaj , aby rozpocząć proces dołączania. Wprowadź nazwę katalogu gościa "adatum.onmicrosoft.com", a następnie wybierz pozycję Dodaj.

   

3. Katalog gościa zostanie wyświetlony w widoku listy ze stanem niezarejestrowanym.

   

4. Tylko Mary ma poświadczenia do uwierzytelniania w katalogu gościa, więc musisz wysłać jej link, aby ukończyć rejestrację. Zaznacz pole wyboru adatum.onmicrosoft.com , a następnie wybierz pozycję Zarejestruj.

   

5. Zostanie otwarta nowa karta przeglądarki. Wybierz pozycję Kopiuj link w dolnej części strony i podaj ją Mary.

6. Jeśli masz poświadczenia dla katalogu gościa, możesz ukończyć rejestrację samodzielnie, wybierając pozycję Zaloguj.

   

Konfigurowanie katalogu gościa

Mary otrzymała wiadomość e-mail z linkiem do zarejestrowania katalogu. Otwiera link w przeglądarce i potwierdza identyfikator Microsoft Entra oraz punkt końcowy usługi Azure Resource Manager systemu Azure Stack Hub.

1. Mary loguje się przy użyciu poświadczeń administratora globalnego dla adatum.onmicrosoft.com.

   Uwaga

   Przed zalogowaniem się upewnij się, że blokady wyskakujących okienek są wyłączone.

   

2. Mary przegląda stan katalogu i widzi, że nie jest zarejestrowany.

   

3. Mary wybiera pozycję Zarejestruj , aby rozpocząć proces.

   Uwaga

   Wymagane obiekty dla Visual Studio Code mogą nie być możliwe do utworzenia i muszą używać programu PowerShell.

   

4. Po zakończeniu procesu rejestracji Mary może przejrzeć wszystkie aplikacje utworzone w katalogu i sprawdzić ich stan.

   

5. Mary pomyślnie ukończyła proces rejestracji i może teraz kierować użytkowników usługi Adatum przy @adatum.onmicrosoft.com użyciu kont do logowania się, odwiedzając portal użytkowników usługi Azure Stack Hub. W przypadku systemów wielowężowych adres URL portalu użytkowników jest sformatowany jako https://portal.<region>.<FQDN>. W przypadku wdrożenia zestawu ASDK adres URL to https://portal.local.azurestack.external.

Ważne

Zaktualizowanie stanu katalogu w portalu administracyjnym może potrwać do godziny.

Mary musi również skierować wszystkich podmiotów zagranicznych (użytkowników w katalogu Adatum bez sufiksu adatum.onmicrosoft.com), aby zalogować się przy użyciu .https://<user-portal-url>/adatum.onmicrosoft.com Jeśli dzierżawa katalogu nie zostanie określona /adatum.onmicrosoft.com w adresie URL, zostanie wysłana do katalogu domyślnego i zostanie wyświetlony komunikat o błędzie informujący, że administrator nie wyraził zgody.

Wyrejestrowywanie katalogu gościa

Jeśli nie chcesz już zezwalać na logowanie do usług Azure Stack Hub z dzierżawy katalogu gościa, możesz wyrejestrować katalog. Ponownie należy skonfigurować zarówno główny katalog usługi Azure Stack Hub, jak i katalog gościa:

Konfigurowanie katalogu gościa

Mary nie korzysta już z usług w usłudze Azure Stack Hub i musi usunąć obiekty. Ponownie otwiera adres URL, który otrzymał za pośrednictwem poczty e-mail, aby wyrejestrować katalog. Przed rozpoczęciem tego procesu Mary usuwa wszystkie zasoby z subskrypcji usługi Azure Stack Hub.

1. Mary loguje się przy użyciu poświadczeń administratora globalnego dla adatum.onmicrosoft.com.

   Uwaga

   Przed zalogowaniem się upewnij się, że blokady wyskakujących okienek są wyłączone.

   

2. Mary widzi stan katalogu.

   

3. Mary wybiera wyrejestrowanie , aby rozpocząć akcję.

   

4. Po zakończeniu procesu stan jest wyświetlany jako Niezarejestrowany:

   

   Mary pomyślnie wyrejestrowała katalog adatum.onmicrosoft.com.

   Uwaga

   Wyświetlenie katalogu w portalu administracyjnym usługi Azure Stack może potrwać do jednej godziny.

Konfigurowanie katalogu usługi Azure Stack Hub

Jako operator usługi Azure Stack Hub możesz usunąć katalog gościa w dowolnym momencie, nawet jeśli mary nie wyrejestrowała wcześniej katalogu.

1. Zaloguj się do portalu administratora usługi Azure Stack Hub i przejdź do pozycji Wszystkie usługi — katalogi.

   

2. Zaznacz pole wyboru katalogu adatum.onmicrosoft.com , a następnie wybierz pozycję Usuń.

   

3. Potwierdź akcję usuwania, wpisując tak i wybierając pozycję Usuń.

   

   Pomyślnie usunięto katalog.

Zarządzanie wymaganymi aktualizacjami

Aktualizacje usługi Azure Stack Hub mogą wprowadzać obsługę nowych narzędzi lub usług, które mogą wymagać aktualizacji katalogu macierzystego lub gościa.

Jako operator usługi Azure Stack Hub otrzymasz alert w portalu administracyjnym, który informuje o wymaganej aktualizacji katalogu. Można również określić, czy aktualizacja jest wymagana dla katalogów domowych lub gości, wyświetlając okienko katalogów w portalu administracyjnym. Każda lista katalogów zawiera typ katalogu. Typ może być katalogiem głównym lub gościem, a jego stan jest wyświetlany.

Aktualizowanie katalogów usługi Azure Stack Hub

Gdy wymagana jest aktualizacja katalogu usługi Azure Stack Hub, zostanie wyświetlony stan Wymagane aktualizacji . Na przykład:

Aby zaktualizować katalog, zaznacz pole wyboru Nazwa katalogu , a następnie wybierz pozycję Aktualizuj.

Aktualizowanie katalogu gościa

Operator usługi Azure Stack Hub powinien również poinformować właściciela katalogu gościa o konieczności zaktualizowania katalogu przy użyciu adresu URL udostępnionego do rejestracji. Operator może ponownie wysłać adres URL, ale nie zmienia się.

Mary, właściciel katalogu gościa, otwiera adres URL otrzymany za pośrednictwem poczty e-mail, gdy zarejestrowała katalog:

1. Mary loguje się przy użyciu poświadczeń administratora globalnego dla adatum.onmicrosoft.com. Przed zalogowaniem się upewnij się, że blokady wyskakujących okienek są wyłączone.

   

2. Mary widzi stan katalogu, mówiąc, że wymagana jest aktualizacja.

3. Akcja Aktualizuj jest dostępna dla Mary, aby zaktualizować katalog gościa. Wyświetlenie katalogu zgodnie z rejestracją w portalu administracyjnym usługi Azure Stack może potrwać do jednej godziny.

Dodatkowe możliwości

Operator usługi Azure Stack Hub może wyświetlać subskrypcje skojarzone z katalogiem. Ponadto każdy katalog ma akcję zarządzania katalogiem bezpośrednio w Azure Portal. Aby zarządzać, katalog docelowy musi mieć uprawnienia do zarządzania w Azure Portal.

Następne kroki

• Zarządzanie delegowanymi dostawcami
• Kluczowe pojęcia dotyczące usługi Azure Stack Hub
• Zarządzanie użyciem i rozliczeniami dla usługi Azure Stack Hub jako dostawcy rozwiązań w chmurze
• Dodawanie dzierżawy na potrzeby użycia i rozliczeń do usługi Azure Stack Hub