Проверка удостоверения Azure

Используйте средство проверки готовности Azure Stack Hub (AzsReadinessChecker), чтобы убедиться, что ваш идентификатор Microsoft Entra готов к использованию с Azure Stack Hub. Прежде чем развертывать Azure Stack Hub, проверьте решение для работы с удостоверениями Azure.

Средство проверки готовности позволяет определить:

• Microsoft Entra идентификатор в качестве поставщика удостоверений для Azure Stack Hub.
• Учетная запись Microsoft Entra, которую вы планируете использовать, может войти в систему в качестве глобального администратора идентификатора Microsoft Entra.

Проверка гарантирует, что среда готова к тому, чтобы Azure Stack Hub сохранял сведения о пользователях, приложениях, группах и субъектах-службах из Azure Stack Hub в идентификаторе Microsoft Entra.

Получение средства проверки готовности

Скачайте последнюю версию средства проверки готовности Azure Stack Hub (AzsReadinessChecker) из коллекции PowerShell.

Установка и настройка.

Az PowerShell

Предварительные требования

Ниже перечислены необходимые компоненты.

Модули Az PowerShell

На компьютере должны быть установлены модули Az PowerShell. Инструкции см. в разделе Установка модуля Предварительной версии PowerShell Az.

среда Microsoft Entra

• Определите учетную запись Microsoft Entra, используемую для Azure Stack Hub, и убедитесь, что она является Microsoft Entra глобальным администратором.
• Определите имя клиента Microsoft Entra. Имя клиента должно быть основным доменным именем для идентификатора Microsoft Entra. Например, contoso.onmicrosoft.com.

Действия по проверке удостоверения Azure

1. На компьютере, который соответствует всем предварительным требованиям, откройте командную строку PowerShell с повышенными привилегиями и выполните следующую команду, чтобы установить AzsReadinessChecker:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. В командной строке PowerShell выполните приведенную ниже команду. Замените contoso.onmicrosoft.com именем клиента Microsoft Entra:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. В командной строке PowerShell выполните следующую команду, чтобы начать проверку идентификатора Microsoft Entra. Замените contoso.onmicrosoft.com именем клиента Microsoft Entra:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Когда средство завершит работу, просмотрите выходные данные. Убедитесь, что система соответствует требованиям для установки (OK). При успешном завершении проверки отобразится следующий результат:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Предварительные требования

Ниже перечислены необходимые компоненты.

Модули AzureRM PowerShell

На компьютере должны быть установлены модули Az PowerShell. Инструкции см. в статье Установка модуля AzureRM PowerShell.

Компьютер, на котором запускается это средство

• Необходимо установить Windows 10 или Windows Server 2016 и обеспечить подключение к Интернету.
• Необходимо установить PowerShell 5.1 или более поздней версии. Чтобы проверить используемую версию, выполните приведенную ниже команду PowerShell и проверьте значения Major (основной номер версии) и Minor (дополнительный номер версии).

  $PSVersionTable.PSVersion
  

• Среда PowerShell, настроенная для Azure Stack Hub.
• Необходимо установить последнюю версию средства проверки готовности Microsoft Azure Stack Hub.

среда Microsoft Entra

• Определите учетную запись Microsoft Entra, используемую для Azure Stack Hub, и убедитесь, что она является Microsoft Entra глобальным администратором.
• Определите имя клиента Microsoft Entra. Имя клиента должно быть основным доменным именем для идентификатора Microsoft Entra. Например, contoso.onmicrosoft.com.
• Укажите среду Azure, которая будет использоваться. Поддерживаемые значения для параметра имени среды: AzureCloud, AzureChinaCloud или AzureUSGovernment (в зависимости от используемой подписки Azure).

Действия по проверке удостоверения Azure

1. На компьютере, который соответствует всем предварительным требованиям, откройте командную строку PowerShell с повышенными привилегиями и выполните следующую команду, чтобы установить AzsReadinessChecker:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. В командной строке PowerShell выполните следующую команду, чтобы задать $serviceAdminCredential роль администратора службы для клиента Microsoft Entra. Замените serviceadmin\@contoso.onmicrosoft.com именами учетной записи и клиента:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. В командной строке PowerShell выполните следующую команду, чтобы начать проверку идентификатора Microsoft Entra:

   • Укажите значение имени среды в параметре AzureEnvironment. Поддерживаемые значения для параметра имени среды: AzureCloud, AzureChinaCloud или AzureUSGovernment (в зависимости от используемой подписки Azure).
   • Замените contoso.onmicrosoft.com именем клиента Microsoft Entra.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Когда средство завершит работу, просмотрите выходные данные. Убедитесь, что система соответствует требованиям для установки (OK). При успешном завершении проверки отобразится следующий результат:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Файлы отчета и журнала

Каждый раз при выполнении проверки результаты записываются в azsReadinessChecker.log и AzsReadinessCheckerReport.json. Расположение этих файлов указывается в PowerShell вместе с результатами проверки.

Эти файлы помогут передать сведения о состоянии проверки другим заинтересованным лицам перед развертыванием Azure Stack Hub или для исследования проблем, обнаруженных при проверке. В обоих файлах сохраняются результаты каждой очередной проверки. В отчете содержатся подтверждения команды развертывания по конфигурации удостоверений. Файл журнала поможет командам развертывания или поддержки диагностировать проблемы с проверкой.

По умолчанию оба файла записываются в C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

• Используйте параметр -OutputPath <path> в конце командной строки, чтобы задать другое расположение для отчетов.
• Используйте параметр -CleanReport в конце команды, чтобы удалить из файла AzsReadinessCheckerReport.json сведения о предыдущих запусках средства.

Дополнительные сведения об отчетах проверки Azure Stack Hub можно найти здесь.

Ошибки при проверке

Если проверка завершается ошибкой, сведения о сбое отображаются в окне PowerShell. Кроме того, сведения записываются в файл AzsReadinessChecker.log.

В следующих примерах приведены некоторые рекомендации по устранению распространенных ошибок проверки.

Пароль с истекшим сроком действия или временный пароль

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Причина. Вход с помощью этой учетной записи невозможен, так как истек срок действия пароля или используется временный пароль.

Решение. Выполните в PowerShell следующую команду и следуйте инструкциям на экране, чтобы сбросить пароль.

Login-AzureRMAccount

Также вы можете войти на портал Azure как владелец учетной записи. В таком случае пользователь должен будет сменить пароль.

Неизвестный тип пользователя

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Причина . Учетной записи не удается войти с указанным идентификатором Microsoft Entra (AADDirectoryTenantName). В нашем примере параметр AzureChinaCloud имеет значение AzureEnvironment.

Решение. Убедитесь, что эта учетная запись существует в указанной среде Azure. Выполните в PowerShell следующую команду, чтобы проверить допустимость учетной записи для указанной среды:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Учетная запись не предоставляет права администратора

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Причина. Хотя учетная запись может успешно войти в систему, она не является администратором идентификатора Microsoft Entra (AADDirectoryTenantName).

Решение. Войдите в портал Azure в качестве владельца учетной записи, перейдите к Microsoft Entra идентификатору, а затем — Пользователи, а затем выберите пользователя. Затем выберите Роль каталога и убедитесь, что пользователь является глобальным администратором. Если учетная запись является пользователем, перейдите к Microsoft Entra идентификатору>Личных доменных имен и убедитесь, что имя, указанное для AADDirectoryTenantName, помечено как основное доменное имя для этого каталога. В нашем примере это contoso.onmicrosoft.com.

В Azure Stack Hub требуется, чтобы доменное имя являлось основным.

Next Steps

Проверка регистрации в Azure
Просмотр отчета о готовности
Планирование интеграции центра обработки данных для интегрированных систем Azure Stack Hub