Configure multi-arrendamento no Azure Stack HubConfigure multi-tenancy in Azure Stack Hub

Você pode configurar O Azure Stack Hub para apoiar utilizadores de vários inquilinos do Azure Ative Directory (Azure AD), permitindo-lhes usar serviços no Azure Stack Hub.You can configure Azure Stack Hub to support users from multiple Azure Active Directory (Azure AD) tenants, allowing them to use services in Azure Stack Hub. Por exemplo, considere os seguintes cenários:For example, consider the following scenario:

  • Você é o administrador de serviço da contoso.onmicrosoft.com, onde o Azure Stack Hub está instalado.You're the service administrator of contoso.onmicrosoft.com, where Azure Stack Hub is installed.
  • Mary é a administradora do diretório de fabrikam.onmicrosoft.com, onde estão localizados os utilizadores convidados.Mary is the directory administrator of fabrikam.onmicrosoft.com, where guest users are located.
  • A empresa de Mary recebe serviços IaaS e PaaS da sua empresa e precisa de permitir que os utilizadores do diretório de hóspedes (fabrikam.onmicrosoft.com) inscrevam-se e utilizem os recursos do Azure Stack Hub em contoso.onmicrosoft.com.Mary's company receives IaaS and PaaS services from your company and needs to allow users from the guest directory (fabrikam.onmicrosoft.com) to sign in and use Azure Stack Hub resources in contoso.onmicrosoft.com.

Este guia fornece os passos necessários, no contexto deste cenário, para configurar o multi-arrendamento no Azure Stack Hub.This guide provides the steps required, in the context of this scenario, to configure multi-tenancy in Azure Stack Hub. Neste cenário, você e Mary devem completar os passos para permitir que os utilizadores de Fabrikam assinem e consumam serviços a partir da implantação do Azure Stack Hub em Contoso.In this scenario, you and Mary must complete steps to enable users from Fabrikam to sign in and consume services from the Azure Stack Hub deployment in Contoso.

Se você é um Cloud Solution Provider (CSP), você tem formas adicionais de configurar e gerir um Azure Stack Hub multi-inquilino.If you're a Cloud Solution Provider (CSP), you have additional ways you can configure and manage a multi-tenant Azure Stack Hub.

Ativar multi-inquilinosEnable multi-tenancy

Existem alguns pré-requisitos para explicar antes de configurar o multi-arrendamento no Azure Stack Hub:There are a few prerequisites to account for before you configure multi-tenancy in Azure Stack Hub:

  • Você e Mary devem coordenar etapas administrativas em todo o diretório Azure Stack Hub está instalado em (Contoso), e o diretório convidado (Fabrikam).You and Mary must coordinate administrative steps across both the directory Azure Stack Hub is installed in (Contoso), and the guest directory (Fabrikam).

  • Certifique-se de que instalou e configurado PowerShell para o Azure Stack Hub.Make sure you've installed and configured PowerShell for Azure Stack Hub.

  • Descarregue as Ferramentas Azure Stack Hube importe os módulos Connect and Identity:Download the Azure Stack Hub Tools, and import the Connect and Identity modules:

    Import-Module .\Identity\AzureStack.Identity.psm1
    

Configure Azure Stack Hub diretórioConfigure Azure Stack Hub directory

Nesta secção, você configura o Azure Stack Hub para permitir inscrições de inquilinos de diretórios da Fabrikam Azure.In this section, you configure Azure Stack Hub to allow sign-ins from Fabrikam Azure AD directory tenants.

A bordo do inquilino do diretório convidado (Fabrikam) para o Azure Stack Hub, configurando o Azure Resource Manager para aceitar utilizadores e diretores de serviço do inquilino do diretório convidado.Onboard the guest directory tenant (Fabrikam) to Azure Stack Hub by configuring Azure Resource Manager to accept users and service principals from the guest directory tenant.

O administrador de serviço de contoso.onmicrosoft.com executa os seguintes comandos:The service admin of contoso.onmicrosoft.com runs the following commands:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest tenant directory. 
$guestDirectoryTenantToBeOnboarded = "fabrikam.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Conigure diretório convidadoConfigure guest directory

Uma vez que o operador do Azure Stack Hub permitiu que o diretório de Fabrikam fosse usado com o Azure Stack Hub, Mary deve registar O Azure Stack Hub com o inquilino do diretório de Fabrikam.Once the Azure Stack Hub operator has enabled the Fabrikam directory to be used with Azure Stack Hub, Mary must register Azure Stack Hub with Fabrikam's directory tenant.

Registe-se Azure Stack Hub com o diretório de convidadosRegister Azure Stack Hub with the guest directory

Mary (administradora de Fabrikam) dirige os seguintes comandos no diretório convidado fabrikam.onmicrosoft.com:Mary (directory admin of Fabrikam) runs the following commands in the guest directory fabrikam.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
$tenantARMEndpoint = "https://management.local.azurestack.external"
    
## Replace the value below with the guest tenant directory.
$guestDirectoryTenantName = "fabrikam.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Importante

Se o administrador do Azure Stack Hub instalar novos serviços ou atualizações no futuro, poderá ter de executar este script novamente.If your Azure Stack Hub administrator installs new services or updates in the future, you may need to run this script again.

Volte a executar este script a qualquer momento para verificar o estado das aplicações do Azure Stack Hub no seu diretório.Run this script again at any time to check the status of the Azure Stack Hub apps in your directory.

Se notou problemas com a criação de VMs em Discos Geridos (introduzidos na atualização de 1808), foi adicionado um novo Fornecedor de Recursos de Disco que exigia que este script fosse novamente executado.If you've noticed issues with creating VMs in Managed Disks (introduced in the 1808 update), a new Disk Resource Provider was added requiring this script to be run again.

Utilizadores diretos para iniciar sins inDirect users to sign in

Agora que tu e a Mary completaram os passos para embarcar no diretório da Mary, a Mary pode direcionar os utilizadores de Fabrikam para se inscreverem.Now that you and Mary have completed the steps to onboard Mary's directory, Mary can direct Fabrikam users to sign in. Os utilizadores de Fabrikam (utilizadores com o sufixo fabrikam.onmicrosoft.com) insinuem-se visitando https : //portal.local.azurestack.external.Fabrikam users (users with the fabrikam.onmicrosoft.com suffix) sign in by visiting https://portal.local.azurestack.external.

Mary dirigirá quaisquer diretores estrangeiros do diretório de Fabrikam (utilizadores no diretório de Fabrikam sem o sufixo de fabrikam.onmicrosoft.com) para iniciar sus usando https : //portal.local.azurestack.external/fabrikam.onmicrosoft.com.Mary will direct any foreign principals in the Fabrikam directory (users in the Fabrikam directory without the suffix of fabrikam.onmicrosoft.com) to sign in using https://portal.local.azurestack.external/fabrikam.onmicrosoft.com. Se não usarem este URL, são enviados para o seu diretório predefinido (Fabrikam) e recebem um erro que diz que o seu administrador não consentiu.If they don't use this URL, they're sent to their default directory (Fabrikam) and receive an error that says their administrator hasn't consented.

Desativar o multi-arrendamentoDisable multi-tenancy

Se já não quiser vários inquilinos no Azure Stack Hub, pode desativar o multi-arrendamento fazendo os seguintes passos por ordem:If you no longer want multiple tenants in Azure Stack Hub, you can disable multi-tenancy by doing the following steps in order:

  1. Como administrador do diretório convidado (Mary neste cenário), executar Unregister-AzsWithMyDirectoryTenant.As the administrator of the guest directory (Mary in this scenario), run Unregister-AzsWithMyDirectoryTenant. O cmdlet desinstala todas as aplicações do Azure Stack Hub a partir do novo diretório.The cmdlet uninstalls all the Azure Stack Hub apps from the new directory.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest tenant directory.
    $guestDirectoryTenantName = "fabrikam.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. Como administrador de serviço do Azure Stack Hub (você neste cenário), executar Unregister-AzSGuestDirectoryTenant.As the service administrator of Azure Stack Hub (you in this scenario), run Unregister-AzSGuestDirectoryTenant.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest tenant directory. 
    $guestDirectoryTenantToBeDecommissioned = "fabrikam.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Aviso

    Os passos de desativação de vários arrendamentos devem ser executados por ordem.The disable multi-tenancy steps must be performed in order. Passo #1 falha se o passo #2 for concluído primeiro.Step #1 fails if step #2 is completed first.

Relatório de saúde de identidade do Retrieve Azure Stack HubRetrieve Azure Stack Hub identity health report

Substitua o <region> , e os espaços <domain> <homeDirectoryTenant> reservados, em seguida, execute o cmdlet seguinte como administrador do Azure Stack Hub.Replace the <region>, <domain>, and <homeDirectoryTenant> placeholders, then execute the following cmdlet as the Azure Stack Hub administrator.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Atualizar permissões de inquilinos da AD AZureUpdate Azure AD tenant permissions

Esta ação irá limpar o alerta no Azure Stack Hub, indicando que um diretório requer uma atualização.This action will clear the alert in Azure Stack Hub, indicating that a directory requires an update. Executar o seguinte comando a partir da pasta Azurestack-tools-master/identity:Run the following command from the Azurestack-tools-master/identity folder:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

O roteiro solicita-lhe credenciais administrativas sobre o inquilino da AD Azure, e leva vários minutos para correr.The script prompts you for administrative credentials on the Azure AD tenant, and takes several minutes to run. O alerta deve estar limpo depois de executar o cmdlet.The alert should clear after you run the cmdlet.

Passos seguintesNext steps