Configure multi-arrendamento no Azure Stack Hub

Pode configurar o Azure Stack Hub para suportar as entradas de utilizadores que residem em outros Azure Ative Directory (Azure AD), permitindo-lhes utilizar serviços no Azure Stack Hub. Estes diretórios têm uma relação de "hóspede" com o seu diretório Azure Stack Hub, e são considerados inquilinos convidados da AD Azure.

Por exemplo, considere este cenário:

  • Você é o administrador de serviço da contoso.onmicrosoft.com, o inquilino da Azure AD que fornece serviços de gestão de identidade e acesso ao Azure Stack Hub.
  • Mary é a administradora diretária da adatum.onmicrosoft.com, o inquilino azure AD convidado onde os utilizadores convidados estão localizados.
  • A empresa de Mary (Adatum) utiliza serviços IaaS e PaaS da sua empresa. A Adatum quer permitir que os utilizadores do diretório de hóspedes (adatum.onmicrosoft.com) entrem e utilizem os recursos do Azure Stack Hub garantidos por contoso.onmicrosoft.com.

Este guia fornece os passos necessários, no contexto deste cenário, para permitir ou desativar o multi-arrendamento no Azure Stack Hub para um inquilino de diretório convidado. Você e Mary realizam este processo registando ou não registrando o inquilino do diretório convidado, que permite ou desativa o azure Stack Hub e consumo de serviço por utilizadores da Adatum.

Se você é um Fornecedor de Soluções em Nuvem (CSP), você tem outras formas de configurar e gerir um Azure Stack Hub multi-inquilino.

Pré-requisitos

Antes de registar ou não registar um diretório de hóspedes, você e Maria devem completar os passos administrativos para os respetivos inquilinos da AD Azure: o diretório de casa do Azure Stack Hub (Contoso), e o diretório de hóspedes (Adatum):

Registar um diretório de hóspedes

Para registar um diretório de hóspedes para multi-arrendamento, você precisa configurar tanto o diretório de casa Azure Stack Hub como o diretório convidado.

Configure Azure Stack Hub diretório

Como administrador de serviço da contoso.onmicrosoft.com, você deve primeiro embarcar no diretório convidado do Adatum para Azure Stack Hub. O seguinte roteiro configura a Azure Resource Manager aceitar inscrições de utilizadores e diretores de serviço no adatum.onmicrosoft.com inquilino:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Configure diretório convidado

Em seguida, Mary (diretório admin de Adatum) deve registar Azure Stack Hub com o adatum.onmicrosoft.com diretório convidado executando o seguinte script:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Importante

Se o administrador do Azure Stack Hub instalar novos serviços ou atualizações no futuro, poderá ter de executar este script novamente.

Volte a executar este script a qualquer momento para verificar o estado das aplicações do Azure Stack Hub no seu diretório.

Se notar problemas com a criação de VMs em Managed Disks (introduzidos na atualização de 1808), foi adicionado um novo fornecedor de recursos de disco, o que requer que este script seja novamente executado.

Utilizadores diretos para iniciar sinssion

Por fim, a Mary pode direcionar os utilizadores da Adatum com @adatum.onmicrosoft.com contas para iniciar seduca, visitando o portal de utilizadores do Azure Stack Hub. Para sistemas multinode, o URL do portal do utilizador é formatado como https://portal.<region>.<FQDN>. Para uma implantação ASDK, o URL é https://portal.local.azurestack.external.

Maria também deve dirigir quaisquer principais estrangeiros (utilizadores no diretório Adatum sem o sufixo de adatum.onmicrosoft.com) para assinar em uso https://<user-portal-url>/adatum.onmicrosoft.com. Se não especificarem o inquilino do /adatum.onmicrosoft.com diretório no URL, são enviados para o seu diretório padrão e recebem um erro que diz que o administrador não consentiu.

Não registre um diretório convidado

Se já não quiser permitir inscrições nos serviços do Azure Stack Hub a partir de um inquilino de diretório de hóspedes, pode não registar o diretório. Mais uma vez, tanto o diretório do Azure Stack Hub como o diretório de convidados precisam de ser configurados:

  1. Como administrador do diretório convidado (Mary neste cenário), correr Unregister-AzsWithMyDirectoryTenant. O cmdlet desinstala todas as aplicações do Azure Stack Hub a partir do novo diretório.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest directory tenant.
    $guestDirectoryTenantName = "adatum.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. Como administrador de serviço do Azure Stack Hub (você neste cenário), executar o Unregister-AzSGuestDirectoryTenant cmdlet:

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest directory tenant. 
    $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Aviso

    As etapas para desativar o arrendamento multi-arrendamento devem ser executadas por ordem. O passo nº 1 falha se o passo #2 estiver concluído primeiro.

Relatório de saúde de identidade do Retrieve Azure Stack Hub

Substitua o <region>, <domain>e <homeDirectoryTenant> os espaços reservados, em seguida, execute o seguinte cmdlet como administrador do Azure Stack Hub.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Atualizar permissões de inquilinos da AD AD

Esta ação limpa um alerta no Azure Stack Hub, indicando que um diretório requer uma atualização. Executar o seguinte comando a partir da pasta Azurestack-tools-master/identity :

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

O roteiro solicita-lhe credenciais administrativas sobre o inquilino da AD Azure, e leva vários minutos para correr. O alerta apaga-se depois de executar o cmdlet.

A gestão baseada no portal não é suportada para esta versão

A gestão multi-arrendamento utilizando o portal do administrador só está disponível para as versões 2102 e posteriores. Selecione uma versão posterior utilizando o seletor na parte superior esquerda da página.

Registar um diretório de hóspedes

Para registar um diretório de hóspedes para multi-arrendamento, você precisa configurar tanto o diretório de casa Azure Stack Hub como o diretório convidado.

Configure Azure Stack Hub diretório

O primeiro passo é sensibilizar o seu sistema Azure Stack Hub para o diretório de hóspedes. Neste exemplo, o diretório da empresa de Mary, Adatum, chama-se adatum.onmicrosoft.com.

  1. Inscreva-se no portal de administrador do Azure Stack Hub e vá a Todos os serviços - Diretórios.

    Screenshot that shows the list of directories.

  2. Selecione Adicionar para iniciar o processo de embarque. Insira o nome do diretório convidado "adatum.onmicrosoft.com", e, em seguida, selecione Add.

    Screenshot that shows how to add a new directory.

  3. O diretório de hóspedes aparece na vista da lista, com um estatuto de não registrado.

    Screenshot that shows the new guest directory with an unregistered status.

  4. Apenas a Mary tem as credenciais para autenticar no diretório de convidados, por isso deve enviar-lhe o link para completar o registo. Selecione a caixa de verificação adatum.onmicrosoft.com e, em seguida, selecione Registar.)

    Screenshot that shows selecting a directory to register.

  5. É aberto um novo separador do browser. Selecione Copy link na parte inferior da página e forneça-o à Mary.

  6. Se tiver as credenciais para o diretório de hóspedes, pode completar o registo por si mesmo selecionando Iniciar sing.º.

    Screenshot that shows selecting sign in.

Configure diretório convidado

Mary recebeu o e-mail com o link para registar o diretório. Ela abre o link num browser e confirma o Azure Ative Directory e o Azure Resource Manager ponto final do seu sistema Azure Stack Hub.

  1. Mary assina usando as suas credenciais de administrador global para adatum.onmicrosoft.com.

    Nota

    Certifique-se de que os bloqueadores pop-up estão desactivdos antes de iniciar sessão.

    Screenshot that shows signing in to manage a directory.

  2. Mary revê o estado do diretório e vê que não está registado.

    Screenshot that shows an unregistered directory.

  3. Mary seleciona Registo para iniciar o processo.

    Nota

    Os objetos necessários para Visual Studio Código podem não ser capazes de ser criados, e devem utilizar o PowerShell.

    Screenshot that shows the starting directory registration.

  4. Após o processo de inscrição, Mary pode rever todos os pedidos que foram criados no diretório, e verificar o seu estado.

    Screenshot that shows a registered directory.

  5. Mary concluiu com sucesso o processo de registo e pode agora direcionar os utilizadores da Adatum com @adatum.onmicrosoft.com contas para iniciar singing visitando o portal de utilizadores do Azure Stack Hub. Para sistemas multinode, o URL do portal do utilizador é formatado como https://portal.<region>.<FQDN>. Para uma implantação ASDK, o URL é https://portal.local.azurestack.external.

Importante

Pode levar até uma hora para o operador Azure Stack ver o estado do diretório atualizado no portal de administração.

Maria também deve dirigir quaisquer principais estrangeiros (utilizadores no diretório Adatum sem o sufixo de adatum.onmicrosoft.com) para assinar em uso https://<user-portal-url>/adatum.onmicrosoft.com. Se não especificarem o inquilino do /adatum.onmicrosoft.com diretório no URL, são enviados para o seu diretório padrão e recebem um erro que diz que o administrador não consentiu.

Não registre um diretório convidado

Se já não quiser permitir inscrições nos serviços do Azure Stack Hub a partir de um inquilino de diretório de hóspedes, pode não registar o diretório. Mais uma vez, tanto o diretório do Azure Stack Hub como o diretório de convidados precisam de ser configurados:

Configure diretório convidado

Mary já não utiliza serviços no Azure Stack Hub e deve remover os objetos. Ela abre novamente o URL que recebeu por e-mail para não registar o diretório. Antes de iniciar este processo, Mary remove todos os recursos da assinatura Azure Stack Hub.

  1. Mary assina usando as suas credenciais de administrador global para adatum.onmicrosoft.com.

    Nota

    Certifique-se de que os bloqueadores pop-up estão desactivdos antes de iniciar sessão.

    Screenshot that shows selecting Sign In.

  2. Mary vê o estado do diretório.

    Screenshot that shows a registered directory.

  3. Mary seleciona Unregister para iniciar a ação.

    Screenshot that shows selecing Unregister to unregister a directory.

  4. Quando o processo estiver concluído, o estado é indicado como Não registado:

    Screenshot that shows a directory that has been unregistered.

    Mary conseguiu não registar o diretório adatum.onmicrosoft.com.

    Nota

    Pode levar até uma hora para mostrar o diretório como não registado no portal de administração Azure Stack.

Configure Azure Stack Hub diretório

Como operador do Azure Stack Hub, pode remover o diretório de hóspedes em qualquer ponto, mesmo que a Mary não tenha previamente registado o diretório.

  1. Inscreva-se no portal de administrador do Azure Stack Hub e vá a Todos os serviços - Diretórios.

    Screenshot that shows all directories.

  2. Selecione a caixa de verificação do diretório adatum.onmicrosoft.com e, em seguida, selecione Remover.

    Screenshot that shows selecting Remove for a directory.

  3. Confirme a ação de eliminação digitando sim e selecionando Remover.

    Screenshot that shows how to remove a directory.

    Removeu com sucesso o diretório.

Gestão das atualizações necessárias

As atualizações do Azure Stack Hub podem introduzir suporte para novas ferramentas ou serviços que possam necessitar de uma atualização do diretório de hóspedes ou casa.

Como operador do Azure Stack Hub, recebe um alerta no portal de administração que o informa sobre uma atualização de diretórios necessária. Também pode determinar se é necessária uma atualização para diretórios domésticos ou convidados, visualizando o painel de diretórios no portal de administração. Cada lista geminada mostra o tipo de diretório. O tipo pode ser um diretório de casa ou de hóspedes, e o seu estado é mostrado.

Atualize os diretórios do Azure Stack Hub

Quando é necessária uma atualização do diretório do Azure Stack Hub, é mostrado um estado de atualização exigido . Por exemplo:

Screenshot that shows a directory requiring an update.

Para atualizar o diretório, selecione a caixa de verificação do nome do Diretório e, em seguida, selecione Update.

Atualize o diretório de hóspedes

Um operador do Azure Stack Hub também deve informar o proprietário do diretório convidado de que precisam de atualizar o seu diretório utilizando o URL partilhado para registo. O operador pode reencotar o URL, mas não muda.

Mary, a proprietária do diretório convidado, abre o URL que recebeu por e-mail quando registou o diretório:

  1. Mary assina usando as suas credenciais de administrador global para adatum.onmicrosoft.com. Certifique-se de que os bloqueadores pop-up estão desactivdos antes de iniciar sessão.

    Screenshot that shows selecting Sign In.

  2. Mary vê o estado do diretório dizendo que é necessária uma atualização.

  3. A ação Update está disponível para Mary atualizar o diretório de convidados. Pode levar até uma hora para mostrar o diretório como registado no portal de administração Azure Stack.

Capacidades adicionais

Um operador do Azure Stack Hub pode ver as subscrições associadas a um diretório. Além disso, cada diretório tem uma ação para gerir o diretório diretamente no portal do Azure. Para gerir, o directório-alvo deve ter permissões de gestão no portal do Azure.

Passos seguintes