Проверка удостоверения Azure

Средство проверки готовности Azure Stack Hub (AzsReadinessChecker) позволяет убедиться, что ваша служба Azure Active Directory (Azure AD) готова к работе с Azure Stack Hub. Прежде чем развертывать Azure Stack Hub, проверьте решение для работы с удостоверениями Azure.

Средство проверки готовности позволяет определить:

• является ли Azure AD поставщиком удостоверений для Azure Stack Hub;
• предоставляет ли учетная запись Azure AD, которую вы хотите использовать, права глобального администратора в Azure AD.

Проверка гарантирует, что настроенное окружение обеспечивает все необходимое для того, чтобы инфраструктура Azure Stack Hub сохраняла в Azure AD сведения о пользователях, приложениях, группах и субъектах-службах.

Получение средства проверки готовности

Скачайте последнюю версию средства проверки готовности Azure Stack Hub (AzsReadinessChecker) из коллекции PowerShell.

Установка и настройка.

Az PowerShell

Предварительные требования

Ниже перечислены необходимые компоненты.

Модули Az PowerShell

На компьютере должны быть установлены модули Az PowerShell. Инструкции см. в статье Установка модуля PowerShell AZ Preview.

среда Azure Active Directory (Azure AD)

• Определите учетную запись Azure AD, которую вы хотите использовать для Azure Stack Hub, и убедитесь, что она предоставляет права глобального администратора Azure AD.
• Определите имя клиента Azure AD. Это имя должно совпадать с основным доменным именем в Azure AD. Например, contoso.onmicrosoft.com.

Действия по проверке удостоверения Azure

1. На компьютере, который соответствует всем предварительным требованиям, откройте командную строку PowerShell с повышенными привилегиями и выполните следующую команду, чтобы установить AzsReadinessChecker:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. В командной строке PowerShell выполните приведенную ниже команду. Замените contoso.onmicrosoft.com именем своего клиента Azure AD:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. В командной строке PowerShell выполните приведенную ниже команду, чтобы начать проверку Azure AD. Замените contoso.onmicrosoft.com именем своего клиента Azure AD:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Когда средство завершит работу, просмотрите выходные данные. Убедитесь, что система соответствует требованиям для установки (OK). При успешном завершении проверки отобразится следующий результат:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Предварительные требования

Ниже перечислены необходимые компоненты.

Модули AzureRM PowerShell

На компьютере должны быть установлены модули Az PowerShell. Инструкции см. в статье Установка модуля AzureRM PowerShell.

Компьютер, на котором запускается это средство

• Необходимо установить Windows 10 или Windows Server 2016 и обеспечить подключение к Интернету.
• Необходимо установить PowerShell 5.1 или более поздней версии. Чтобы проверить используемую версию, выполните приведенную ниже команду PowerShell и проверьте значения Major (основной номер версии) и Minor (дополнительный номер версии).

  $PSVersionTable.PSVersion
  

• Среда PowerShell, настроенная для Azure Stack Hub.
• Необходимо установить последнюю версию средства проверки готовности Microsoft Azure Stack Hub.

Среда Azure AD

• Определите учетную запись Azure AD, которую вы хотите использовать для Azure Stack Hub, и убедитесь, что она предоставляет права глобального администратора Azure AD.
• Определите имя клиента Azure AD. Это имя должно совпадать с основным доменным именем в Azure AD. Например, contoso.onmicrosoft.com.
• Укажите среду Azure, которая будет использоваться. Поддерживаемые значения для параметра имени среды: AzureCloud, AzureChinaCloud или AzureUSGovernment (в зависимости от используемой подписки Azure).

Действия по проверке удостоверения Azure

1. На компьютере, который соответствует всем предварительным требованиям, откройте командную строку PowerShell с повышенными привилегиями и выполните следующую команду, чтобы установить AzsReadinessChecker:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. В командной строке PowerShell выполните следующую команду, чтобы назначить $serviceAdminCredential администратором службы для клиента Azure AD. Замените serviceadmin\@contoso.onmicrosoft.com именами учетной записи и клиента:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. В командной строке PowerShell выполните приведенную ниже команду, чтобы начать проверку Azure AD.

   • Укажите значение имени среды в параметре AzureEnvironment. Поддерживаемые значения для параметра имени среды: AzureCloud, AzureChinaCloud или AzureUSGovernment (в зависимости от используемой подписки Azure).
   • Замените contoso.onmicrosoft.com именем своего клиента Azure AD.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Когда средство завершит работу, просмотрите выходные данные. Убедитесь, что система соответствует требованиям для установки (OK). При успешном завершении проверки отобразится следующий результат:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Файлы отчета и журнала

При каждой выполнении проверки записываются результаты в AzsReadinessChecker. log и азсреадинессчеккеррепорт. JSON. Расположение этих файлов указывается в PowerShell вместе с результатами проверки.

Эти файлы помогут передать сведения о состоянии проверки другим заинтересованным лицам перед развертыванием Azure Stack Hub или для исследования проблем, обнаруженных при проверке. В обоих файлах сохраняются результаты каждой очередной проверки. В отчете содержатся подтверждения команды развертывания по конфигурации удостоверений. Файл журнала поможет командам развертывания или поддержки диагностировать проблемы с проверкой.

По умолчанию оба файла записываются в C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

• Используйте параметр -OutputPath <path> в конце командной строки, чтобы задать другое расположение для отчетов.
• -CleanReportИспользуйте параметр в конце команды Run, чтобы очистить сведения о предыдущих запусках средства из -CleanReport.

Дополнительные сведения об отчетах проверки Azure Stack Hub можно найти здесь.

Ошибки при проверке

Если проверка завершается ошибкой, сведения о сбое отображаются в окне PowerShell. Кроме того, сведения записываются в файл AzsReadinessChecker.log.

В следующих примерах приведены некоторые рекомендации по устранению распространенных ошибок проверки.

Пароль с истекшим сроком действия или временный пароль

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Причина. Вход с помощью этой учетной записи невозможен, так как истек срок действия пароля или используется временный пароль.

Решение. Выполните в PowerShell следующую команду и следуйте инструкциям на экране, чтобы сбросить пароль.

Login-AzureRMAccount

Также вы можете войти на портал Azure как владелец учетной записи. В таком случае пользователь должен будет сменить пароль.

Неизвестный тип пользователя

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Причина. Вход в указанный каталог Azure AD (AADDirectoryTenantName) с помощью этой учетной записи невозможен. В нашем примере параметр AzureChinaCloud имеет значение AzureEnvironment.

Решение. Убедитесь, что эта учетная запись существует в указанной среде Azure. Выполните в PowerShell следующую команду, чтобы проверить допустимость учетной записи для указанной среды:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Учетная запись не предоставляет права администратора

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Причина . Хотя учетная запись может успешно входить в систему, эта учетная запись не является администратором Azure AD (ааддиректоритенантнаме).

Решение. Войдите на портал Azure от имени владельца учетной записи и щелкните Azure Active Directory, Пользователи, Выбрать пользователя. Затем выберите Роль каталога и убедитесь, что пользователь является глобальным администратором. Если учетная запись предоставляет права пользователя, щелкните Azure Active DirectoryИмена личных доменов и убедитесь, что указанное в качестве значения AADDirectoryTenantName имя домена является основным доменным именем для каталога. В нашем примере это contoso.onmicrosoft.com.

В Azure Stack Hub требуется, чтобы доменное имя являлось основным.

Next Steps

Проверка регистрации в Azure
Просмотр отчета о готовности
Планирование интеграции центра обработки данных для интегрированных систем Azure Stack Hub