Configurar multilocação no Hub de Azure Stack

você pode configurar o Hub Azure Stack para dar suporte a entradas de usuários que residem em outros diretórios do Azure Active Directory (AD do Azure), permitindo que eles usem serviços no Hub Azure Stack. Esses diretórios têm uma relação de "convidado" com seu diretório de Hub de Azure Stack e são considerados locatários convidados do Azure AD.

Por exemplo, considere este cenário:

  • Você é o administrador de serviço do contoso.onmicrosoft.com, o locatário do Azure AD inicial que fornece serviços de gerenciamento de identidade e acesso para Azure Stack Hub.
  • Mary é o administrador de diretório do adatum.onmicrosoft.com, o locatário do Azure AD convidado em que os usuários convidados estão localizados.
  • A empresa de Mary (adatum) usa serviços IaaS e PaaS de sua empresa. Adatum deseja permitir que os usuários do diretório de convidado (adatum.onmicrosoft.com) entrem e usem Azure Stack recursos de Hub protegidos pelo contoso.onmicrosoft.com.

Este guia fornece as etapas necessárias, no contexto deste cenário, para habilitar ou desabilitar a multilocação no Hub Azure Stack para um locatário do diretório convidado. Você e Mary realizam esse processo registrando ou cancelando o registro do locatário do diretório convidado, que habilita ou desabilita as entradas Azure Stack Hub e o consumo de serviço por usuários do adatum.

se você for um Provedor de Soluções na Nuvem (CSP), terá outras maneiras de configurar e gerenciar um Hub de Azure Stack multilocatário.

Pré-requisitos

Antes de registrar ou cancelar o registro de um diretório de convidado, você e Mary devem concluir as etapas administrativas para seus respectivos locatários do Azure AD: o diretório base do hub de Azure Stack (contoso) e o diretório de convidado (adatum):

Registrar um diretório de convidado

Para registrar um diretório convidado para multilocação, você precisa configurar o diretório home Azure Stack Hub e o diretório convidado.

Configurar Azure Stack diretório do Hub

Como administrador de serviços do contoso.onmicrosoft.com, você deve primeiro integrar o locatário do diretório convidado do Adatum ao Hub Azure Stack. O script a seguir configura Azure Resource Manager para aceitar entradas de usuários e entidades de serviço no locatário adatum.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Configurar diretório de convidado

Em seguida, Mary (administrador de diretório de adatum) deve registrar Azure Stack Hub com o diretório convidado adatum.onmicrosoft.com executando o seguinte script:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Importante

Se o administrador do Hub do Azure Stack instalar novos serviços ou atualizações no futuro, talvez seja necessário executar esse script novamente.

Execute este script novamente a qualquer momento para verificar o status dos aplicativos de Hub de Azure Stack em seu diretório.

Se você notar problemas com a criação de VMs no Managed Disks (introduzido na atualização 1808), um novo provedor de recursos de disco foi adicionado, o que exige que esse script seja executado novamente.

Direcionar os usuários para entrar

Por fim, Mary pode direcionar @adatum os usuários do adatum. onmicrosoft.com para entrar visitando o portal do usuário do hub de Azure Stack. Para sistemas de vários nós, a URL do portal do usuário é formatada como https://portal.<region>.<FQDN> . Para uma implantação ASDK, a URL é https://portal.local.azurestack.external .

Mary também deve direcionar quaisquer entidades estrangeiras (usuários no diretório adatum sem o sufixo de adatum.onmicrosoft.com) para entrar usando https://<user-portal-url>/adatum.onmicrosoft.com . Se eles não especificarem o /adatum.onmicrosoft.com locatário do diretório na URL, eles serão enviados ao diretório padrão e receberão um erro informando que o administrador não consentiu.

Cancelar o registro de um diretório de convidado

Se você não deseja mais permitir que as entradas Azure Stack serviços de Hub de um locatário do diretório convidado, você pode cancelar o registro do diretório. Mais uma vez, o diretório do hub de Azure Stack doméstico e o diretório de convidado precisam ser configurados:

  1. Como o administrador do diretório de convidado (Mary neste cenário), execute Unregister-AzsWithMyDirectoryTenant . O cmdlet desinstala todos os aplicativos de Hub de Azure Stack do novo diretório.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest directory tenant.
    $guestDirectoryTenantName = "adatum.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. Como o administrador de serviços do hub de Azure Stack (neste cenário), execute o Unregister-AzSGuestDirectoryTenant cmdlet:

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest directory tenant. 
    $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Aviso

    As etapas para desabilitar a multilocação devem ser executadas na ordem. A etapa #1 falhará se a etapa #2 for concluída primeiro.

Recuperar Azure Stack relatório de integridade de identidade do Hub

Substitua os <region><domain> espaços reservados,, e <homeDirectoryTenant> , em seguida, execute o seguinte cmdlet como o administrador do Hub Azure Stack.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Atualizar permissões de locatário do Azure AD

Essa ação limpa um alerta no Hub Azure Stack, indicando que um diretório requer uma atualização. Execute o comando a seguir na pasta Azurestack-Tools-mestre/Identity :

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

O script solicita as credenciais administrativas no locatário do Azure AD e leva vários minutos para ser executado. O alerta é limpo depois que você executa o cmdlet.

Não há suporte para o gerenciamento baseado em portal nesta versão

O gerenciamento de multilocação usando o portal do administrador só está disponível para as versões 2102 e posteriores. Selecione uma versão posterior usando o seletor na parte superior esquerda da página.

Registrar um diretório de convidado

Para registrar um diretório convidado para multilocação, você precisa configurar o diretório home Azure Stack Hub e o diretório convidado.

Configurar Azure Stack diretório do Hub

A primeira etapa é tornar o sistema de Hub de Azure Stack ciente do diretório convidado. Neste exemplo, o diretório da empresa de Mary, adatum, é chamado de adatum.onmicrosoft.com.

  1. Entre no portal do administrador do hub de Azure Stack e vá para todos os serviços-diretórios.

    Captura de tela que mostra a lista de diretórios.

  2. Selecione Adicionar para iniciar o processo de integração. Insira o nome do diretório de convidado "adatum.onmicrosoft.com" e, em seguida, selecione Adicionar.

    Captura de tela que mostra como adicionar um novo diretório.

  3. O diretório convidado aparece no modo de exibição de lista, com um status de não registrado.

    Captura de tela que mostra o novo diretório convidado com um status não registrado.

  4. Apenas Mary tem as credenciais para autenticar no diretório de convidado, portanto, você deve enviar o link para concluir o registro. Marque a caixa de seleção adatum.onmicrosoft.com e, em seguida, selecione registrar.

    Captura de tela que mostra a seleção de um diretório a ser registrado.

  5. Uma nova guia do navegador é aberta. Selecione Copiar link na parte inferior da página e forneça-o para Mary.

  6. Se você tiver as credenciais para o diretório de convidado, poderá concluir o registro por conta própria selecionando entrar.

    Captura de tela que mostra a seleção de entrar.

Configurar diretório de convidado

Mary recebeu o email com o link para registrar o diretório. ela abre o link em um navegador e confirma o Azure Active Directory e o ponto de extremidade Azure Resource Manager do seu sistema de Hub de Azure Stack.

  1. Mary entra usando suas credenciais de administrador global para adatum.onmicrosoft.com.

    Observação

    Verifique se os bloqueadores de pop-up estão desabilitados antes de entrar.

    Captura de tela que mostra a entrada para gerenciar um diretório.

  2. Mary revisa o status do diretório e vê que ele não está registrado.

    Captura de tela que mostra um diretório não registrado.

  3. Mary seleciona registrar para iniciar o processo.

    Observação

    os objetos necessários para Visual Studio Code talvez não possam ser criados e devem usar o PowerShell.

    Captura de tela que mostra o registro de diretório inicial.

  4. Após a conclusão do processo de registro, Mary pode examinar todos os aplicativos que foram criados no diretório e verificar seu status.

    Captura de tela que mostra um diretório registrado.

  5. Mary concluiu com êxito o processo de registro e agora pode direcionar os usuários adatum para que as contas do @adatum. onmicrosoft.com entrem visitando o portal do usuário do hub de Azure Stack. Para sistemas de vários nós, a URL do portal do usuário é formatada como https://portal.<region>.<FQDN> . Para uma implantação ASDK, a URL é https://portal.local.azurestack.external .

Importante

Pode levar até uma hora para o operador de Azure Stack ver o status do diretório atualizado no portal de administração.

Mary também deve direcionar quaisquer entidades estrangeiras (usuários no diretório adatum sem o sufixo de adatum.onmicrosoft.com) para entrar usando https://<user-portal-url>/adatum.onmicrosoft.com . Se eles não especificarem o /adatum.onmicrosoft.com locatário do diretório na URL, eles serão enviados ao diretório padrão e receberão um erro informando que o administrador não consentiu.

Cancelar o registro de um diretório de convidado

Se você não deseja mais permitir que as entradas Azure Stack serviços de Hub de um locatário do diretório convidado, você pode cancelar o registro do diretório. Mais uma vez, o diretório do hub de Azure Stack doméstico e o diretório de convidado precisam ser configurados:

Configurar diretório de convidado

Mary não usa mais serviços no Hub Azure Stack e deve remover os objetos. Ela abre a URL novamente que recebeu por email para cancelar o registro do diretório. Antes de iniciar esse processo, Mary remove todos os recursos da assinatura do Hub Azure Stack.

  1. Mary entra usando suas credenciais de administrador global para adatum.onmicrosoft.com.

    Observação

    Verifique se os bloqueadores de pop-up estão desabilitados antes de entrar.

    Captura de tela que mostra a seleção de entrar.

  2. Mary vê o status do diretório.

    Captura de tela que mostra um diretório registrado.

  3. Mary seleciona Cancelar registro para iniciar a ação.

    Captura de tela que mostra selecing cancelar registro para cancelar o registro de um diretório.

  4. Quando o processo for concluído, o status será mostrado como não registrado:

    Captura de tela que mostra um diretório cujo registro foi cancelado.

    Mary desregistrou com êxito o diretório adatum.onmicrosoft.com.

    Observação

    Pode levar até uma hora para mostrar o diretório como não registrado no portal de administração do Azure Stack.

Configurar Azure Stack diretório do Hub

Como um operador de Hub Azure Stack, você pode remover o diretório convidado em qualquer ponto, mesmo que Mary não tenha cancelado o registro do diretório anteriormente.

  1. Entre no portal do administrador do hub de Azure Stack e vá para todos os serviços-diretórios.

    Captura de tela que mostra todos os diretórios.

  2. Marque a caixa de seleção adatum.onmicrosoft.com Directory e, em seguida, selecione remover.

    Captura de tela que mostra a seleção de remover para um diretório.

  3. Confirme a ação de exclusão digitando Sim e selecionando remover.

    Captura de tela que mostra como remover um diretório.

    Você removeu o diretório com êxito.

Gerenciando atualizações necessárias

As atualizações de Hub Azure Stack podem apresentar suporte para novas ferramentas ou serviços que podem exigir uma atualização do diretório de residência ou convidado.

Como um operador de Hub Azure Stack, você recebe um alerta no portal de administração que informa sobre uma atualização de diretório necessária. Você também pode determinar se uma atualização é necessária para diretórios residenciais ou convidados exibindo o painel diretórios no portal de administração. Cada listagem de diretório mostra o tipo de diretório. O tipo pode ser um diretório base ou convidado, e seu status é mostrado.

Atualizar os diretórios do hub de Azure Stack

Quando uma atualização de diretório do hub de Azure Stack é necessária, é mostrado um status de atualização necessária . Por exemplo:

Captura de tela que mostra um diretório que requer uma atualização.

Para atualizar o diretório, marque a caixa de seleção nome do diretório e, em seguida, selecione Atualizar.

Atualizar o diretório de convidado

Um operador de Hub de Azure Stack também deve informar ao proprietário do diretório convidado que eles precisam para atualizar seu diretório usando a URL compartilhada para registro. O operador pode reenviar a URL, mas ela não é alterada.

Mary, o proprietário do diretório de convidado, abre a URL que recebeu por email quando ele registrou o diretório:

  1. Mary entra usando suas credenciais de administrador global para adatum.onmicrosoft.com. Verifique se os bloqueadores de pop-up estão desabilitados antes de entrar.

    Captura de tela que mostra a seleção de entrar.

  2. Mary vê o status do diretório dizendo que uma atualização é necessária.

  3. A ação de atualização está disponível para Mary para atualizar o diretório de convidado. Pode levar até uma hora para mostrar o diretório como registrado no portal de administração do Azure Stack.

Funcionalidades adicionais

Um operador Hub Azure Stack pode exibir as assinaturas associadas a um diretório. Além disso, cada diretório tem uma ação para gerenciar o diretório diretamente no portal do Azure. Para gerenciar o, o diretório de destino deve ter permissões de gerenciamento no portal do Azure.

Próximas etapas