Verifiera Azure-identitet

Använd Azure Stack Hub Readiness Checker (AzsReadinessChecker) för att verifiera att din Azure Active Directory (Azure AD) är redo att användas med Azure Stack Hub. Verifiera din Azure-identitetslösning innan du påbörjar en Azure Stack Hub distribution.

Beredskapskontrollen verifierar:

  • Azure AD som identitetsprovider för Azure Stack Hub.
  • Det Azure AD-konto som du planerar att använda kan logga in som global administratör för din Azure AD.

Verifieringen säkerställer att din miljö är Azure Stack Hub att lagra information om användare, program, grupper och tjänstens huvudnamn från Azure Stack Hub i Azure AD.

Hämta beredskapskontrollverktyget

Ladda ned den senaste versionen av Azure Stack Hub Readiness Checker(AzsReadinessChecker) från PowerShell-galleriet.

Installera och konfigurera

Förutsättningar

Följande krav är uppfyllda:

Az PowerShell-moduler

Du måste ha Az PowerShell-modulerna installerade. Instruktioner finns i Installera PowerShell Az preview-modulen.

Azure Active Directory (Azure AD)-miljö

  • Identifiera det Azure AD-konto som ska Azure Stack Hub och se till att det är en global Azure AD-administratör.
  • Identifiera namnet på din Azure AD-klientorganisation. Klientnamnet måste vara det primära domännamnet för din Azure AD. Till exempel contoso.onmicrosoft.com.

Steg för att verifiera Azure-identitet

  1. På en dator som uppfyller kraven öppnar du en upphöjd PowerShell-kommandotolk och kör sedan följande kommando för att installera AzsReadinessChecker:

    Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
    Install-AzProfile -Profile 2020-09-01-hybrid -Force
    Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
    
  2. Kör följande kommando från PowerShell-prompten. Ersätt contoso.onmicrosoft.com med namnet på din Azure AD-klientorganisation:

    Connect-AzAccount -tenant contoso.onmicrosoft.com
    
  3. Kör följande kommando från PowerShell-prompten för att starta valideringen av Azure AD. Ersätt contoso.onmicrosoft.com med namnet på din Azure AD-klientorganisation:

    Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
    
  4. Granska utdata när verktyget har körs. Bekräfta att statusen är OK för installationskraven. En lyckad validering visas som i följande exempel:

    Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
    Starting Azure Identity Validation
    
    Checking Installation Requirements: OK
    
    Finished Azure Identity Validation
    
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
    Invoke-AzsAzureIdentityValidation Completed
    

Rapport- och loggfil

Varje gång valideringen körs loggar den resultat till AzsReadinessChecker.log och AzsReadinessCheckerReport.json. Platsen för de här filerna visas med valideringsresultaten i PowerShell.

De här filerna kan hjälpa dig att dela valideringsstatus innan du Azure Stack Hub eller undersöka verifieringsproblem. Båda filerna sparar resultaten från varje efterföljande valideringskontroll. Rapporten ger distributionsteamet en bekräftelse på identitetskonfigurationen. Loggfilen kan hjälpa ditt distributions- eller supportteam att undersöka verifieringsproblem.

Som standard skrivs båda filerna till C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

  • -OutputPath <path> Använd parametern i slutet av kommandoraden för att ange en annan rapportplats.
  • -CleanReport Använd parametern i slutet av körningskommandot för att rensa information om tidigare körningar av verktyget från -CleanReport.

Mer information finns i Azure Stack Hub verifieringsrapport.

Valideringsfel

Om en valideringskontroll misslyckas visas information om felet i PowerShell-fönstret. Verktyget loggar också information till filen AzsReadinessChecker.log.

Följande exempel ger vägledning om vanliga verifieringsfel.

Lösenordet har upphört att gälla eller är tillfälligt

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Orsak – Kontot kan inte logga in eftersom lösenordet antingen har upphört att gälla eller är tillfälligt.

Lösning – Kör följande kommando i PowerShell och följ sedan anvisningarna för att återställa lösenordet:

Login-AzureRMAccount

Ett annat sätt är att logga in Azure Portal som kontoägare och användaren tvingas ändra lösenordet.

Okänd användartyp

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Orsak – Kontot kan inte logga in på angiven Azure AD (AADDirectoryTenantName). I det här exemplet anges AzureChinaCloud som AzureEnvironment.

Lösning – Bekräfta att kontot är giltigt för den angivna Azure-miljön. Kör följande kommando i PowerShell för att verifiera att kontot är giltigt för en specifik miljö:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Kontot är inte en administratör

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Orsak – Även om kontot kan logga in är kontot inte administratör för Azure AD (AADDirectoryTenantName).

Lösning – Logga in på Azure Portal som kontoägare, gå till Azure Active Directory, sedan Användare och välj användaren. Välj sedan Katalogroll och se till att användaren är en Global administratör. Om kontot är en användare går dutill Azure Active DirectoryAnpassade domännamn och bekräftar att det namn som du angav för AADDirectoryTenantName är markerat som primärt domännamn för den här katalogen. I det här exemplet är det contoso.onmicrosoft.com.

Azure Stack Hub kräver att domännamnet är det primära domännamnet.

Nästa steg

Verifiera Azure-registrering
Visa beredskapsrapporten
Allmänna Azure Stack Hub för integrering