Validar identidade do AzureValidate Azure identity

Utilize a ferramenta Azure Stack Hub Readiness Checker (AzsReadinessChecker ) para validar que o seu Azure Ative Directory (Azure AD) está pronto a ser utilizado com o Azure Stack Hub.Use the Azure Stack Hub Readiness Checker tool ( AzsReadinessChecker ) to validate that your Azure Active Directory (Azure AD) is ready to use with Azure Stack Hub. Valide a sua solução de identidade Azure antes de iniciar uma implementação do Azure Stack Hub.Validate your Azure identity solution before you begin an Azure Stack Hub deployment.

O verificador de preparação valida:The readiness checker validates:

  • Azure AD como fornecedor de identidade para a Azure Stack Hub.Azure AD as an identity provider for Azure Stack Hub.
  • A conta AZure AD que pretende utilizar pode inscrever-se como administrador global do seu AD Azure.The Azure AD account that you plan to use can sign in as a global administrator of your Azure AD.

A validação garante que o seu ambiente está pronto para o Azure Stack Hub armazenar informações sobre utilizadores, aplicações, grupos e diretores de serviço do Azure Stack Hub no seu Azure AD.Validation ensures your environment is ready for Azure Stack Hub to store information about users, applications, groups, and service principals from Azure Stack Hub in your Azure AD.

Obtenha a ferramenta de verificação de prontidãoGet the readiness checker tool

Descarregue a versão mais recente da ferramenta Azure Stack Hub Readiness Checker (AzsReadinessChecker) da PowerShell Gallery.Download the latest version of the Azure Stack Hub Readiness Checker tool (AzsReadinessChecker) from the PowerShell Gallery.

Instalar e configurarInstall and configure

Pré-requisitosPrerequisites

São necessários os seguintes pré-requisitos:The following prerequisites are required:

Módulos Az PowerShellAz PowerShell modules

Terá de instalar os módulos Az PowerShell.You will need to have the Az PowerShell modules installed. Para obter instruções, consulte o módulo de pré-visualização PowerShell Az.For instructions, see Install PowerShell Az preview module.

Ambiente do Diretório Ativo Azure (Azure AD)Azure Active Directory (Azure AD) environment

  • Identifique a conta AZure AD para usar para o Azure Stack Hub e certifique-se de que é um administrador global AZure AD.Identify the Azure AD account to use for Azure Stack Hub and ensure it's an Azure AD global administrator.
  • Identifique o nome do seu inquilino da AZure.Identify your Azure AD tenant name. O nome do inquilino deve ser o nome de domínio primário para o seu AD Azure.The tenant name must be the primary domain name for your Azure AD. Por exemplo, contoso.onmicrosoft.com.For example, contoso.onmicrosoft.com.

Passos para validar a identidade do AzureSteps to validate Azure identity

  1. Num computador que satisfaça os pré-requisitos, abra um pedido de comando PowerShell elevado e, em seguida, executar o seguinte comando para instalar o AzsReadinessChecker :On a computer that meets the prerequisites, open an elevated PowerShell command prompt, and then run the following command to install AzsReadinessChecker :

    Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
    Install-AzProfile -Profile 2019-03-01-hybrid -Force
    Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
    
  2. A partir do pedido powerShell, executar o seguinte comando.From the PowerShell prompt, run the following command. Substitua contoso.onmicrosoft.com pelo nome do seu inquilino Azure AD:Replace contoso.onmicrosoft.com with your Azure AD tenant name:

    Connect-AzAccount -tenant contoso.onmicrosoft.com
    
  3. A partir do pedido PowerShell, executar o seguinte comando para iniciar a validação do seu Azure AD.From the PowerShell prompt, run the following command to start validation of your Azure AD. Substitua contoso.onmicrosoft.com pelo nome do seu inquilino Azure AD:Replace contoso.onmicrosoft.com with your Azure AD tenant name:

    Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
    
  4. Depois de a ferramenta correr, reveja a saída.After the tool runs, review the output. Confirme se o estado está ok para os requisitos de instalação.Confirm the status is OK for installation requirements. Uma validação bem sucedida aparece como o seguinte exemplo:A successful validation appears like the following example:

    Invoke-AzsAzureIdentityValidation v1.2005.1269 started.
    Starting Azure Identity Validation
    
    Checking Installation Requirements: OK
    
    Finished Azure Identity Validation
    
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
    Invoke-AzsAzureIdentityValidation Completed
    

Arquivo de relatório e logReport and log file

Cada vez que a validação é executado, regista os resultados para AzsReadinessChecker.log e AzsReadinessCheckerReport.jsem.Each time validation runs, it logs results to AzsReadinessChecker.log and AzsReadinessCheckerReport.json. A localização destes ficheiros é exibida com os resultados da validação no PowerShell.The location of these files displays with the validation results in PowerShell.

Estes ficheiros podem ajudá-lo a partilhar o estado de validação antes de implementar o Azure Stack Hub ou investigar problemas de validação.These files can help you share validation status before you deploy Azure Stack Hub or investigate validation problems. Ambos os ficheiros persistem os resultados de cada verificação de validação subsequente.Both files persist the results of each subsequent validation check. O relatório fornece a confirmação da configuração da configuração da identidade da sua equipa de implantação.The report provides your deployment team confirmation of the identity configuration. O ficheiro de registo pode ajudar a sua equipa de implementação ou suporte a investigar problemas de validação.The log file can help your deployment or support team investigate validation issues.

Por predefinição, ambos os ficheiros são escritos para C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json .By default, both files are written to C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

  • Utilize o -OutputPath <path> parâmetro no final da linha de comando de execução para especificar um local de relatório diferente.Use the -OutputPath <path> parameter at the end of the run command line to specify a different report location.
  • Utilize o -CleanReport parâmetro no final do comando de execução para limpar informações sobre as execuções anteriores da ferramenta a partir deAzsReadinessCheckerReport.js .Use the -CleanReport parameter at the end of the run command to clear information about previous runs of the tool from AzsReadinessCheckerReport.json.

Para mais informações, consulte o relatório de validação do Azure Stack Hub.For more information, see Azure Stack Hub validation report.

Falhas de validaçãoValidation failures

Se uma verificação de validação falhar, detalhes sobre o visor de falha na janela PowerShell.If a validation check fails, details about the failure display in the PowerShell window. A ferramenta também regista informações no ficheiro AzsReadinessChecker.log.The tool also logs information to the AzsReadinessChecker.log file.

Os exemplos a seguir fornecem orientações sobre falhas de validação comuns.The following examples provide guidance on common validation failures.

Senha expirada ou temporáriaExpired or temporary password

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Porque - A conta não pode iniciar scontabilidade porque a senha está caducada ou temporária.Cause - The account can't sign in because the password is either expired or temporary.

Resolução - Em PowerShell, executar o seguinte comando e, em seguida, seguir as instruções para redefinir a palavra-passe:Resolution - In PowerShell, run the following command and then follow the prompts to reset the password:

Login-AzureRMAccount

Outra forma é entrar no portal Azure como o proprietário da conta e o utilizador será obrigado a alterar a palavra-passe.Another way is to sign in to the Azure portal as the account owner and the user will be forced to change the password.

Tipo de utilizador desconhecidoUnknown user type

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa - A conta não pode entrar no Azure AD especificado (AADDirectoryTenantName ).Cause - The account can't sign in to the specified Azure AD ( AADDirectoryTenantName ). Neste exemplo, o AzureChinaCloud é especificado como O AzureEnvironment.In this example, AzureChinaCloud is specified as the AzureEnvironment.

Resolução - Confirme que a conta é válida para o ambiente Azure especificado.Resolution - Confirm that the account is valid for the specified Azure environment. No PowerShell, executar o seguinte comando para verificar se a conta é válida para um ambiente específico:In PowerShell, run the following command to verify the account is valid for a specific environment:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

A conta não é administradoraAccount is not an administrator

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa - Embora a conta possa entrar com sucesso, a conta não é um administrador do AD Azure (AADDirectOryTenantName).Cause - Although the account can successfully sign in, the account isn't an admin of the Azure AD ( AADDirectoryTenantName ).

Resolução - Inscreva-se no portal Azure como titular da conta, vá ao Azure Ative Directory , depois aos Utilizadores, depois selecione o Utilizador.Resolution - Sign in into the Azure portal as the account owner, go to Azure Active Directory , then Users , then Select the User. Em seguida, selecione Directy Role e certifique-se de que o utilizador é um administrador Global.Then select Directory Role and ensure the user is a Global administrator. Se a conta for um Utilizador, aceda aos nomes de domínio personalizado do Azure Ative Directory > Custom domain names e confirme que o nome que forneceu para AADDirectoryTenantName está marcado como o nome de domínio principal deste diretório.If the account is a User , go to Azure Active Directory > Custom domain names and confirm that the name you supplied for AADDirectoryTenantName is marked as the primary domain name for this directory. Neste exemplo, é contoso.onmicrosoft.com.In this example, that's contoso.onmicrosoft.com.

Azure Stack Hub requer que o nome de domínio seja o nome de domínio primário.Azure Stack Hub requires that the domain name is the primary domain name.

Passos SeguintesNext Steps

Validate Azure registration (Validar o registo do Azure)Validate Azure registration
Ver o relatório de prontidãoView the readiness report
Considerações de integração do General Azure Stack HubGeneral Azure Stack Hub integration considerations