Configurar multilocação no Hub de Azure StackConfigure multi-tenancy in Azure Stack Hub

Você pode configurar Azure Stack Hub para dar suporte a usuários de vários locatários do Azure Active Directory (Azure AD), permitindo que eles usem serviços no Hub Azure Stack.You can configure Azure Stack Hub to support users from multiple Azure Active Directory (Azure AD) tenants, allowing them to use services in Azure Stack Hub. Por exemplo, considere o seguinte cenário:For example, consider the following scenario:

  • Você é o administrador de serviço do contoso.onmicrosoft.com, onde Azure Stack Hub está instalado.You're the service administrator of contoso.onmicrosoft.com, where Azure Stack Hub is installed.
  • Mary é o administrador de diretório do fabrikam.onmicrosoft.com, onde os usuários convidados estão localizados.Mary is the directory administrator of fabrikam.onmicrosoft.com, where guest users are located.
  • A empresa de Mary recebe serviços de IaaS e PaaS de sua empresa e precisa permitir que os usuários do diretório de convidado (fabrikam.onmicrosoft.com) entrem e usem recursos de Hub de Azure Stack no contoso.onmicrosoft.com.Mary's company receives IaaS and PaaS services from your company and needs to allow users from the guest directory (fabrikam.onmicrosoft.com) to sign in and use Azure Stack Hub resources in contoso.onmicrosoft.com.

Este guia fornece as etapas necessárias, no contexto deste cenário, para configurar a multilocação no Hub Azure Stack.This guide provides the steps required, in the context of this scenario, to configure multi-tenancy in Azure Stack Hub. Nesse cenário, você e Mary devem concluir as etapas para permitir que os usuários da Fabrikam entrem e consumam serviços da implantação do hub de Azure Stack na contoso.In this scenario, you and Mary must complete steps to enable users from Fabrikam to sign in and consume services from the Azure Stack Hub deployment in Contoso.

Se você for um CSP (provedor de soluções de nuvem), terá outras maneiras de configurar e gerenciar um hub de Azure Stack multilocatário.If you're a Cloud Solution Provider (CSP), you have additional ways you can configure and manage a multi-tenant Azure Stack Hub.

Habilitar multilocaçãoEnable multi-tenancy

Há alguns pré-requisitos para considerar antes de configurar a multilocação no Hub Azure Stack:There are a few prerequisites to account for before you configure multi-tenancy in Azure Stack Hub:

  • Você e Mary devem coordenar as etapas administrativas entre o diretório Azure Stack Hub é instalado no (contoso) e o diretório de convidado (Fabrikam).You and Mary must coordinate administrative steps across both the directory Azure Stack Hub is installed in (Contoso), and the guest directory (Fabrikam).

  • Verifique se você instalou e configurou o PowerShell para Azure Stack Hub.Make sure you've installed and configured PowerShell for Azure Stack Hub.

  • Baixe as ferramentas de Hub de Azure Stacke importe os módulos de conexão e de identidade:Download the Azure Stack Hub Tools, and import the Connect and Identity modules:

    Import-Module .\Identity\AzureStack.Identity.psm1
    

Configurar Azure Stack diretório do HubConfigure Azure Stack Hub directory

Nesta seção, você configurará Azure Stack Hub para permitir entradas de locatários de diretório da Fabrikam do Azure AD.In this section, you configure Azure Stack Hub to allow sign-ins from Fabrikam Azure AD directory tenants.

Integre o locatário do diretório de convidado (Fabrikam) ao Azure Stack Hub Configurando Azure Resource Manager para aceitar usuários e entidades de serviço do locatário do diretório convidado.Onboard the guest directory tenant (Fabrikam) to Azure Stack Hub by configuring Azure Resource Manager to accept users and service principals from the guest directory tenant.

O administrador de serviço do contoso.onmicrosoft.com executa os seguintes comandos:The service admin of contoso.onmicrosoft.com runs the following commands:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest tenant directory. 
$guestDirectoryTenantToBeOnboarded = "fabrikam.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Configurar diretório de convidadoConfigure guest directory

Depois que o operador Hub de Azure Stack tiver habilitado o diretório Fabrikam para ser usado com o Hub Azure Stack, Mary deverá registrar Azure Stack Hub com o locatário de diretório da Fabrikam.Once the Azure Stack Hub operator has enabled the Fabrikam directory to be used with Azure Stack Hub, Mary must register Azure Stack Hub with Fabrikam's directory tenant.

Registrar Azure Stack Hub com o diretório convidadoRegister Azure Stack Hub with the guest directory

Mary (administrador de diretório da Fabrikam) executa os seguintes comandos no diretório de convidado fabrikam.onmicrosoft.com:Mary (directory admin of Fabrikam) runs the following commands in the guest directory fabrikam.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
$tenantARMEndpoint = "https://management.local.azurestack.external"
    
## Replace the value below with the guest tenant directory.
$guestDirectoryTenantName = "fabrikam.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Importante

Se o administrador do Hub do Azure Stack instalar novos serviços ou atualizações no futuro, talvez seja necessário executar esse script novamente.If your Azure Stack Hub administrator installs new services or updates in the future, you may need to run this script again.

Execute este script novamente a qualquer momento para verificar o status dos aplicativos de Hub de Azure Stack em seu diretório.Run this script again at any time to check the status of the Azure Stack Hub apps in your directory.

Se você observou problemas com a criação de VMs no Managed Disks (introduzido na atualização 1808), um novo provedor de recursos de disco foi adicionado, exigindo que esse script fosse executado novamente.If you've noticed issues with creating VMs in Managed Disks (introduced in the 1808 update), a new Disk Resource Provider was added requiring this script to be run again.

Direcionar os usuários para entrarDirect users to sign in

Agora que você e Mary concluíram as etapas para o diretório de Mary da placa, Mary pode direcionar os usuários da Fabrikam para entrar.Now that you and Mary have completed the steps to onboard Mary's directory, Mary can direct Fabrikam users to sign in. Entrada de usuários da Fabrikam (usuários com o sufixo fabrikam.onmicrosoft.com) visitando https : //Portal.local.azurestack.external.Fabrikam users (users with the fabrikam.onmicrosoft.com suffix) sign in by visiting https://portal.local.azurestack.external.

Mary direcionará quaisquer entidades estrangeiras no diretório Fabrikam (usuários no diretório Fabrikam sem o sufixo de fabrikam.onmicrosoft.com) para entrar usando HTTPS : //Portal.local.azurestack.external/fabrikam.onmicrosoft.com.Mary will direct any foreign principals in the Fabrikam directory (users in the Fabrikam directory without the suffix of fabrikam.onmicrosoft.com) to sign in using https://portal.local.azurestack.external/fabrikam.onmicrosoft.com. Se eles não usarem essa URL, eles serão enviados para o diretório padrão (Fabrikam) e receberão um erro informando que o administrador não consentiu.If they don't use this URL, they're sent to their default directory (Fabrikam) and receive an error that says their administrator hasn't consented.

Desabilitar multilocaçãoDisable multi-tenancy

Se você não quiser mais vários locatários no Hub Azure Stack, poderá desabilitar a multilocação executando as seguintes etapas na ordem:If you no longer want multiple tenants in Azure Stack Hub, you can disable multi-tenancy by doing the following steps in order:

  1. Como o administrador do diretório de convidado (Mary neste cenário), execute Unregister-AzsWithMyDirectoryTenant.As the administrator of the guest directory (Mary in this scenario), run Unregister-AzsWithMyDirectoryTenant. O cmdlet desinstala todos os aplicativos de Hub de Azure Stack do novo diretório.The cmdlet uninstalls all the Azure Stack Hub apps from the new directory.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest tenant directory.
    $guestDirectoryTenantName = "fabrikam.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. Como o administrador de serviços do hub de Azure Stack (você neste cenário), execute Unregister-AzSGuestDirectoryTenant.As the service administrator of Azure Stack Hub (you in this scenario), run Unregister-AzSGuestDirectoryTenant.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest tenant directory. 
    $guestDirectoryTenantToBeDecommissioned = "fabrikam.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Aviso

    As etapas de desativação de multilocação devem ser executadas na ordem.The disable multi-tenancy steps must be performed in order. A etapa #1 falhará se a etapa #2 for concluída primeiro.Step #1 fails if step #2 is completed first.

Recuperar Azure Stack relatório de integridade de identidade do HubRetrieve Azure Stack Hub identity health report

Substitua os <region> <domain> espaços reservados,, e <homeDirectoryTenant> , em seguida, execute o seguinte cmdlet como o administrador do Hub Azure Stack.Replace the <region>, <domain>, and <homeDirectoryTenant> placeholders, then execute the following cmdlet as the Azure Stack Hub administrator.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Atualizar permissões de locatário do Azure ADUpdate Azure AD tenant permissions

Essa ação limpará o alerta no Hub Azure Stack, indicando que um diretório requer uma atualização.This action will clear the alert in Azure Stack Hub, indicating that a directory requires an update. Execute o comando a seguir na pasta Azurestack-Tools-mestre/Identity :Run the following command from the Azurestack-tools-master/identity folder:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

O script solicita as credenciais administrativas no locatário do Azure AD e leva vários minutos para ser executado.The script prompts you for administrative credentials on the Azure AD tenant, and takes several minutes to run. O alerta deve ser limpo depois que você executar o cmdlet.The alert should clear after you run the cmdlet.

Próximas etapasNext steps