Konfigurera flera innehavare i Azure Stack hubbConfigure multi-tenancy in Azure Stack Hub

Du kan konfigurera Azure Stack Hub så att den stöder användare från flera Azure Active Directory-klienter (Azure AD), så att de kan använda tjänster i Azure Stack Hub.You can configure Azure Stack Hub to support users from multiple Azure Active Directory (Azure AD) tenants, allowing them to use services in Azure Stack Hub. Betrakta till exempel följande scenario:For example, consider the following scenario:

  • Du är tjänst administratör för contoso.onmicrosoft.com, där Azure Stack Hub är installerat.You're the service administrator of contoso.onmicrosoft.com, where Azure Stack Hub is installed.
  • Mary är katalog administratören för fabrikam.onmicrosoft.com, där gäst användare finns.Mary is the directory administrator of fabrikam.onmicrosoft.com, where guest users are located.
  • Marys företag får IaaS-och PaaS-tjänster från företaget och behöver tillåta användare från gäst katalogen (fabrikam.onmicrosoft.com) att logga in och använda Azure Stack hubb resurser i contoso.onmicrosoft.com.Mary's company receives IaaS and PaaS services from your company and needs to allow users from the guest directory (fabrikam.onmicrosoft.com) to sign in and use Azure Stack Hub resources in contoso.onmicrosoft.com.

Den här guiden innehåller de steg som krävs, i samband med det här scenariot, för att konfigurera flera innehav i Azure Stack Hub.This guide provides the steps required, in the context of this scenario, to configure multi-tenancy in Azure Stack Hub. I det här scenariot måste du och Mary slutföra stegen för att göra det möjligt för användare från Fabrikam att logga in och använda tjänster från Azure Stack Hub-distributionen i contoso.In this scenario, you and Mary must complete steps to enable users from Fabrikam to sign in and consume services from the Azure Stack Hub deployment in Contoso.

Om du är en moln lösnings leverantör (CSP) har du ytterligare sätt att Konfigurera och hantera en Azure Stack hubb för flera innehavare.If you're a Cloud Solution Provider (CSP), you have additional ways you can configure and manage a multi-tenant Azure Stack Hub.

Aktivera flera innehavareEnable multi-tenancy

Det finns några krav för att konto innan du konfigurerar flera innehavare i Azure Stack Hub:There are a few prerequisites to account for before you configure multi-tenancy in Azure Stack Hub:

  • Du och Mary måste koordinera administrativa steg i både katalogen Azure Stack Hub är installerat i (contoso) och i gäst katalogen (Fabrikam).You and Mary must coordinate administrative steps across both the directory Azure Stack Hub is installed in (Contoso), and the guest directory (Fabrikam).

  • Kontrol lera att du har installerat och konfigurerat PowerShell för Azure Stack Hub.Make sure you've installed and configured PowerShell for Azure Stack Hub.

  • Hämta Azure Stack Hub-verktygenoch importera modulerna Anslut och identitet:Download the Azure Stack Hub Tools, and import the Connect and Identity modules:

    Import-Module .\Identity\AzureStack.Identity.psm1
    

Konfigurera Azure Stack Hubbs katalogConfigure Azure Stack Hub directory

I det här avsnittet konfigurerar du Azure Stack Hub för att tillåta inloggningar från Fabrikam Azure AD Directory-klienter.In this section, you configure Azure Stack Hub to allow sign-ins from Fabrikam Azure AD directory tenants.

Publicera gäst katalog klienten (Fabrikam) till Azure Stack Hub genom att konfigurera Azure Resource Manager för att acceptera användare och tjänstens huvud namn från gäst katalog klienten.Onboard the guest directory tenant (Fabrikam) to Azure Stack Hub by configuring Azure Resource Manager to accept users and service principals from the guest directory tenant.

Tjänst administratören för contoso.onmicrosoft.com kör följande kommandon:The service admin of contoso.onmicrosoft.com runs the following commands:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest tenant directory. 
$guestDirectoryTenantToBeOnboarded = "fabrikam.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Konfigurera gäst katalogConfigure guest directory

När Azure Stack Hub-operatören har aktiverat Fabrikam-katalogen som ska användas med Azure Stack Hub måste Mary registrera Azure Stack hubb med Fabrikams katalog klient.Once the Azure Stack Hub operator has enabled the Fabrikam directory to be used with Azure Stack Hub, Mary must register Azure Stack Hub with Fabrikam's directory tenant.

Registrera Azure Stack hubb med gäst katalogenRegister Azure Stack Hub with the guest directory

Mary (katalog administratör för Fabrikam) kör följande kommandon i gäst katalogen fabrikam.onmicrosoft.com:Mary (directory admin of Fabrikam) runs the following commands in the guest directory fabrikam.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
$tenantARMEndpoint = "https://management.local.azurestack.external"
    
## Replace the value below with the guest tenant directory.
$guestDirectoryTenantName = "fabrikam.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Viktigt

Om din Azure Stack Hub-administratör installerar nya tjänster eller uppdateringar i framtiden kan du behöva köra skriptet igen.If your Azure Stack Hub administrator installs new services or updates in the future, you may need to run this script again.

Kör skriptet igen när som helst för att kontrol lera statusen för Azure Stack Hub-apparna i din katalog.Run this script again at any time to check the status of the Azure Stack Hub apps in your directory.

Om du har märkt problem med att skapa virtuella datorer i Managed Disks (som introducerades i 1808-uppdateringen) lades en ny disk resurs leverantör till som krävde att skriptet kördes igen.If you've noticed issues with creating VMs in Managed Disks (introduced in the 1808 update), a new Disk Resource Provider was added requiring this script to be run again.

Dirigera användare till inloggningDirect users to sign in

Nu när du och Mary har slutfört stegen för att publicera Marys katalog, kan Mary låta Fabrikam användare logga in.Now that you and Mary have completed the steps to onboard Mary's directory, Mary can direct Fabrikam users to sign in. Fabrikam-användare (användare med fabrikam.onmicrosoft.com suffix) Logga in genom att besöka https- : //Portal.local.azurestack.external.Fabrikam users (users with the fabrikam.onmicrosoft.com suffix) sign in by visiting https://portal.local.azurestack.external.

Mary dirigerar eventuella främmande huvud konton i Fabrikam-katalogen (användare i katalogen Fabrikam utan suffixet fabrikam.onmicrosoft.com) för att logga in med https- : //Portal.local.azurestack.external/fabrikam.onmicrosoft.com.Mary will direct any foreign principals in the Fabrikam directory (users in the Fabrikam directory without the suffix of fabrikam.onmicrosoft.com) to sign in using https://portal.local.azurestack.external/fabrikam.onmicrosoft.com. Om de inte använder den här webb adressen skickas de till sin standard katalog (Fabrikam) och får ett fel meddelande om att administratören inte har samtyckt.If they don't use this URL, they're sent to their default directory (Fabrikam) and receive an error that says their administrator hasn't consented.

Inaktivera flera innehavareDisable multi-tenancy

Om du inte längre vill ha flera klienter i Azure Stack hubb kan du inaktivera flera innehavare genom att utföra följande steg i ordning:If you no longer want multiple tenants in Azure Stack Hub, you can disable multi-tenancy by doing the following steps in order:

  1. Som administratör för gäst katalogen (Mary i det här scenariot) kör du unregister-AzsWithMyDirectoryTenant.As the administrator of the guest directory (Mary in this scenario), run Unregister-AzsWithMyDirectoryTenant. Cmdleten avinstallerar alla Azure Stack Hub-appar från den nya katalogen.The cmdlet uninstalls all the Azure Stack Hub apps from the new directory.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest tenant directory.
    $guestDirectoryTenantName = "fabrikam.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. Som tjänst administratör för Azure Stack hubb (du i det här scenariot) kör du unregister-AzSGuestDirectoryTenant.As the service administrator of Azure Stack Hub (you in this scenario), run Unregister-AzSGuestDirectoryTenant.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest tenant directory. 
    $guestDirectoryTenantToBeDecommissioned = "fabrikam.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Varning

    Åtgärderna för att inaktivera flera innehavare måste utföras i ordning.The disable multi-tenancy steps must be performed in order. Steg #1 Miss lyckas om steg #2 har slutförts först.Step #1 fails if step #2 is completed first.

Hämta hälso rapport för Azure Stack Hub-identitetRetrieve Azure Stack Hub identity health report

Ersätt <region> <domain> <homeDirectoryTenant> plats hållarna, och och kör sedan följande cmdlet som Azure Stack Hub-administratören.Replace the <region>, <domain>, and <homeDirectoryTenant> placeholders, then execute the following cmdlet as the Azure Stack Hub administrator.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Uppdatera behörigheter för Azure AD-klientUpdate Azure AD tenant permissions

Den här åtgärden tar bort aviseringen i Azure Stack hubb, vilket indikerar att en katalog kräver en uppdatering.This action will clear the alert in Azure Stack Hub, indicating that a directory requires an update. Kör följande kommando från mappen Azurestack-tools-Master/Identity :Run the following command from the Azurestack-tools-master/identity folder:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

I skriptet uppmanas du att ange administrativa autentiseringsuppgifter för Azure AD-klienten och det tar flera minuter att köra.The script prompts you for administrative credentials on the Azure AD tenant, and takes several minutes to run. Aviseringen bör avmarkeras när du har kört cmdleten.The alert should clear after you run the cmdlet.

Nästa stegNext steps