Проверка удостоверения AzureValidate Azure identity

Средство проверки готовности Azure Stack Hub ( AzsReadinessChecker ) позволяет убедиться, что ваша служба Azure Active Directory (Azure AD) готова к работе с Azure Stack Hub.Use the Azure Stack Hub Readiness Checker tool ( AzsReadinessChecker ) to validate that your Azure Active Directory (Azure AD) is ready to use with Azure Stack Hub. Прежде чем развертывать Azure Stack Hub, проверьте решение для работы с удостоверениями Azure.Validate your Azure identity solution before you begin an Azure Stack Hub deployment.

Средство проверки готовности позволяет определить:The readiness checker validates:

  • является ли Azure AD поставщиком удостоверений для Azure Stack Hub;Azure AD as an identity provider for Azure Stack Hub.
  • предоставляет ли учетная запись Azure AD, которую вы хотите использовать, права глобального администратора в Azure AD.The Azure AD account that you plan to use can sign in as a global administrator of your Azure AD.

Проверка гарантирует, что настроенное окружение обеспечивает все необходимое для того, чтобы инфраструктура Azure Stack Hub сохраняла в Azure AD сведения о пользователях, приложениях, группах и субъектах-службах.Validation ensures your environment is ready for Azure Stack Hub to store information about users, applications, groups, and service principals from Azure Stack Hub in your Azure AD.

Получение средства проверки готовностиGet the readiness checker tool

Скачайте последнюю версию средства проверки готовности Azure Stack Hub (AzsReadinessChecker) из коллекции PowerShell.Download the latest version of the Azure Stack Hub Readiness Checker tool (AzsReadinessChecker) from the PowerShell Gallery.

Установка и настройка.Install and configure

Обязательные условияPrerequisites

Ниже перечислены необходимые компоненты.The following prerequisites are required:

AZ PowerShell modulesAz PowerShell modules

На этом компьютере должны быть установлены модули AZ PowerShell.You will need to have the Az PowerShell modules installed. Инструкции см. в статье Установка модуля PowerShell AZ Preview.For instructions, see Install PowerShell Az preview module.

Среда Azure Active Directory (Azure AD)Azure Active Directory (Azure AD) environment

  • Определите учетную запись Azure AD, которую вы хотите использовать для Azure Stack Hub, и убедитесь, что она предоставляет права глобального администратора Azure AD.Identify the Azure AD account to use for Azure Stack Hub and ensure it's an Azure AD global administrator.
  • Определите имя клиента Azure AD.Identify your Azure AD tenant name. Это имя должно совпадать с основным доменным именем в Azure AD.The tenant name must be the primary domain name for your Azure AD. Например, contoso.onmicrosoft.com.For example, contoso.onmicrosoft.com.

Действия по проверке удостоверения AzureSteps to validate Azure identity

  1. На компьютере, который соответствует всем предварительным требованиям, откройте командную строку PowerShell с повышенными привилегиями и выполните следующую команду, чтобы установить AzsReadinessChecker :On a computer that meets the prerequisites, open an elevated PowerShell command prompt, and then run the following command to install AzsReadinessChecker :

    Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
    Install-AzProfile -Profile 2019-03-01-hybrid -Force
    Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
    
  2. В командной строке PowerShell выполните следующую команду.From the PowerShell prompt, run the following command. Замените contoso.onmicrosoft.com именем своего клиента Azure AD:Replace contoso.onmicrosoft.com with your Azure AD tenant name:

    Connect-AzAccount -tenant contoso.onmicrosoft.com
    
  3. В командной строке PowerShell выполните следующую команду, чтобы начать проверку Azure AD.From the PowerShell prompt, run the following command to start validation of your Azure AD. Замените contoso.onmicrosoft.com именем своего клиента Azure AD:Replace contoso.onmicrosoft.com with your Azure AD tenant name:

    Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
    
  4. Когда средство завершит работу, просмотрите выходные данные.After the tool runs, review the output. Убедитесь, что система соответствует требованиям для установки ( OK ).Confirm the status is OK for installation requirements. При успешном завершении проверки отобразится следующий результат:A successful validation appears like the following example:

    Invoke-AzsAzureIdentityValidation v1.2005.1269 started.
    Starting Azure Identity Validation
    
    Checking Installation Requirements: OK
    
    Finished Azure Identity Validation
    
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
    Invoke-AzsAzureIdentityValidation Completed
    

Файлы отчета и журналаReport and log file

При каждом запуске проверки все результаты сохраняются в файлах AzsReadinessChecker.log и AzsReadinessCheckerReport.json.Each time validation runs, it logs results to AzsReadinessChecker.log and AzsReadinessCheckerReport.json. Расположение этих файлов указывается в PowerShell вместе с результатами проверки.The location of these files displays with the validation results in PowerShell.

Эти файлы помогут передать сведения о состоянии проверки другим заинтересованным лицам перед развертыванием Azure Stack Hub или для исследования проблем, обнаруженных при проверке.These files can help you share validation status before you deploy Azure Stack Hub or investigate validation problems. В обоих файлах сохраняются результаты каждой очередной проверки.Both files persist the results of each subsequent validation check. В отчете содержатся подтверждения команды развертывания по конфигурации удостоверений.The report provides your deployment team confirmation of the identity configuration. Файл журнала поможет командам развертывания или поддержки диагностировать проблемы с проверкой.The log file can help your deployment or support team investigate validation issues.

По умолчанию оба файла записываются в C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.By default, both files are written to C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

  • Используйте параметр -OutputPath <path> в конце командной строки, чтобы задать другое расположение для отчетов.Use the -OutputPath <path> parameter at the end of the run command line to specify a different report location.
  • Используйте параметр -CleanReport в конце команды, чтобы удалить из файла AzsReadinessCheckerReport.json сведения о предыдущих запусках средства.Use the -CleanReport parameter at the end of the run command to clear information about previous runs of the tool from AzsReadinessCheckerReport.json.

Дополнительные сведения об отчетах проверки Azure Stack Hub можно найти здесь.For more information, see Azure Stack Hub validation report.

Ошибки при проверкеValidation failures

Если проверка завершается ошибкой, сведения о сбое отображаются в окне PowerShell.If a validation check fails, details about the failure display in the PowerShell window. Кроме того, сведения записываются в файл AzsReadinessChecker.log.The tool also logs information to the AzsReadinessChecker.log file.

В следующих примерах приведены некоторые рекомендации по устранению распространенных ошибок проверки.The following examples provide guidance on common validation failures.

Пароль с истекшим сроком действия или временный парольExpired or temporary password

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Причина. Вход с помощью этой учетной записи невозможен, так как истек срок действия пароля или используется временный пароль.Cause - The account can't sign in because the password is either expired or temporary.

Решение. Выполните в PowerShell следующую команду и следуйте инструкциям на экране, чтобы сбросить пароль.Resolution - In PowerShell, run the following command and then follow the prompts to reset the password:

Login-AzureRMAccount

Также вы можете войти на портал Azure как владелец учетной записи. В таком случае пользователь должен будет сменить пароль.Another way is to sign in to the Azure portal as the account owner and the user will be forced to change the password.

Неизвестный тип пользователяUnknown user type

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Причина. Вход в указанный каталог Azure AD ( AADDirectoryTenantName ) с помощью этой учетной записи невозможен.Cause - The account can't sign in to the specified Azure AD ( AADDirectoryTenantName ). В нашем примере параметр AzureChinaCloud имеет значение AzureEnvironment.In this example, AzureChinaCloud is specified as the AzureEnvironment.

Решение. Убедитесь, что эта учетная запись существует в указанной среде Azure.Resolution - Confirm that the account is valid for the specified Azure environment. Выполните в PowerShell следующую команду, чтобы проверить допустимость учетной записи для указанной среды:In PowerShell, run the following command to verify the account is valid for a specific environment:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Учетная запись не предоставляет права администратораAccount is not an administrator

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Причина. Учетная запись позволяет успешно войти в систему, но не предоставляет права администратора в Azure AD ( AADDirectoryTenantName ).Cause - Although the account can successfully sign in, the account isn't an admin of the Azure AD ( AADDirectoryTenantName ).

Решение. Войдите на портал Azure от имени владельца учетной записи и щелкните Azure Active Directory , Пользователи , Выбрать пользователя.Resolution - Sign in into the Azure portal as the account owner, go to Azure Active Directory , then Users , then Select the User. Затем выберите Роль каталога и убедитесь, что пользователь является глобальным администратором.Then select Directory Role and ensure the user is a Global administrator. Если учетная запись предоставляет права пользователя , щелкните Azure Active Directory > Имена личных доменов и убедитесь, что указанное в качестве значения AADDirectoryTenantName имя домена является основным доменным именем для каталога.If the account is a User , go to Azure Active Directory > Custom domain names and confirm that the name you supplied for AADDirectoryTenantName is marked as the primary domain name for this directory. В нашем примере это contoso.onmicrosoft.com.In this example, that's contoso.onmicrosoft.com.

В Azure Stack Hub требуется, чтобы доменное имя являлось основным.Azure Stack Hub requires that the domain name is the primary domain name.

Next StepsNext Steps

Проверка регистрации в AzureValidate Azure registration
Просмотр отчета о готовностиView the readiness report
Планирование интеграции центра обработки данных для интегрированных систем Azure Stack HubGeneral Azure Stack Hub integration considerations