Konfigurera flera innehavare i Azure Stack Hub

Du kan konfigurera Azure Stack Hub för att stödja inloggningar från användare som finns i andra Microsoft Entra kataloger, så att de kan använda tjänster i Azure Stack Hub. Dessa kataloger har en "gästrelation" med din Azure Stack Hub-katalog och betraktas som gäst Microsoft Entra klientorganisationer.

Tänk till exempel på det här scenariot:

• Du är tjänstadministratör för contoso.onmicrosoft.com, hem-Microsoft Entra-klientorganisationen som tillhandahåller identitets- och åtkomsthanteringstjänster till Azure Stack Hub.
• Mary är katalogadministratör för adatum.onmicrosoft.com, gästen Microsoft Entra klientorganisation där gästanvändare finns.
• Marys företag (Adatum) använder IaaS- och PaaS-tjänster från ditt företag. Adatum vill tillåta användare från gästkatalogen (adatum.onmicrosoft.com) att logga in och använda Azure Stack Hub-resurser som skyddas av contoso.onmicrosoft.com.

Den här guiden innehåller de steg som krävs i samband med det här scenariot för att aktivera eller inaktivera flera innehavare i Azure Stack Hub för en gästkatalogklientorganisation. Du och Mary utför den här processen genom att registrera eller avregistrera gästkatalogklientorganisationen, vilket aktiverar eller inaktiverar Azure Stack Hub-inloggningar och tjänstförbrukning av Adatum-användare.

Om du är molnlösningsleverantör (CSP) har du andra sätt att konfigurera och hantera en Azure Stack Hub för flera innehavare.

Förutsättningar

Innan du registrerar eller avregistrerar en gästkatalog måste du och Mary utföra administrativa steg för dina respektive Microsoft Entra klienter: Azure Stack Hub-hemkatalogen (Contoso) och gästkatalogen (Adatum):

• Installera och konfigurera PowerShell för Azure Stack Hub.

• Ladda ned Azure Stack Hub Tools och importera sedan modulerna Anslut och identitet:

  Import-Module .\Identity\AzureStack.Identity.psm1
  

Registrera en gästkatalog

Om du vill registrera en gästkatalog för flera innehavare måste du konfigurera både Azure Stack Hub-hemkatalogen och gästkatalogen.

Konfigurera Azure Stack Hub-katalog

Som tjänstadministratör för contoso.onmicrosoft.com måste du först registrera Adatums gästkatalogklientorganisation till Azure Stack Hub. Följande skript konfigurerar Azure Resource Manager att acceptera inloggningar från användare och tjänstens huvudnamn i adatum.onmicrosoft.com klientorganisationen:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Konfigurera gästkatalog

Därefter måste Mary (katalogadministratör för Adatum) registrera Azure Stack Hub med adatum.onmicrosoft.com gästkatalog genom att köra följande skript:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Viktigt

Om Azure Stack Hub-administratören installerar nya tjänster eller uppdateringar i framtiden kan du behöva köra skriptet igen.

Kör det här skriptet igen när som helst för att kontrollera status för Azure Stack Hub-apparna i din katalog.

Om du ser problem med att skapa virtuella datorer i Managed Disks (introducerades i 1808-uppdateringen) lades en ny diskresursprovider till, vilket kräver att skriptet körs igen.

Uppmana användare att logga in

Slutligen kan Mary dirigera Adatum-användare med @adatum.onmicrosoft.com konton för att logga in genom att besöka Azure Stack Hub-användarportalen. För multinodsystem formateras användarportalens URL som https://portal.<region>.<FQDN>. För en ASDK-distribution är https://portal.local.azurestack.externalURL:en .

Mary måste också dirigera alla externa huvudkonton (användare i Adatum-katalogen utan suffixet adatum.onmicrosoft.com) för att logga in med .https://<user-portal-url>/adatum.onmicrosoft.com Om de inte anger katalogklientorganisationen /adatum.onmicrosoft.com i URL:en skickas de till standardkatalogen och får ett felmeddelande om att administratören inte har samtyckt.

Avregistrera en gästkatalog

Om du inte längre vill tillåta inloggningar till Azure Stack Hub-tjänster från en klientorganisation för gästkatalogen kan du avregistrera katalogen. Återigen måste både Azure Stack Hub-katalogen och gästkatalogen för hemmet konfigureras:

1. Som administratör för gästkatalogen (Mary i det här scenariot) kör du Unregister-AzsWithMyDirectoryTenant. Cmdleten avinstallerar alla Azure Stack Hub-appar från den nya katalogen.

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
   $tenantARMEndpoint = "https://management.local.azurestack.external"
   
   ## Replace the value below with the guest directory tenant.
   $guestDirectoryTenantName = "adatum.onmicrosoft.com"
   
   Unregister-AzsWithMyDirectoryTenant `
    -TenantResourceManagerEndpoint $tenantARMEndpoint `
    -DirectoryTenantName $guestDirectoryTenantName `
    -Verbose 
   

2. Som tjänstadministratör för Azure Stack Hub (du i det här scenariot) kör du cmdleten Unregister-AzSGuestDirectoryTenant :

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
   $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
   
   ## Replace the value below with the Azure Stack Hub directory
   $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
   
   ## Replace the value below with the guest directory tenant. 
   $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
   
   ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
   $ResourceGroupName = "system.local"
   
   Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
    -DirectoryTenantName $azureStackDirectoryTenant `
    -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
    -ResourceGroupName $ResourceGroupName
   

   Varning

   Stegen för att inaktivera flera innehavare måste utföras i ordning. Steg 1 misslyckas om steg 2 slutförs först.

Hämta hälsorapporten för Azure Stack Hub-identitet

<region>Ersätt platshållarna , <domain>och <homeDirectoryTenant> och kör sedan följande cmdlet som Azure Stack Hub-administratör.

$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Uppdatera Microsoft Entra klientbehörigheter

Den här åtgärden rensar en avisering i Azure Stack Hub som anger att en katalog kräver en uppdatering. Kör följande kommando från mappen Azurestack-tools-master/identity :

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

Skriptet uppmanar dig att ange administrativa autentiseringsuppgifter för den Microsoft Entra klientorganisationen och det tar flera minuter att köra. Aviseringen rensas när du har kört cmdleten.

Registrera en gästkatalog

Om du vill registrera en gästkatalog för flera innehavare måste du konfigurera både Azure Stack Hub-hemkatalogen och gästkatalogen.

Konfigurera Azure Stack Hub-katalog

Det första steget är att göra ditt Azure Stack Hub-system medvetet om gästkatalogen. I det här exemplet heter katalogen från Marias företag, Adatum, adatum.onmicrosoft.com.

1. Logga in på Azure Stack Hub-administratörsportalen och gå till Alla tjänster – Kataloger.

   

2. Välj Lägg till för att starta registreringsprocessen. Ange gästkatalognamnet "adatum.onmicrosoft.com" och välj sedan Lägg till.

   

3. Gästkatalogen visas i listvyn med statusen oregistrerad.

   

4. Endast Maria har autentiseringsuppgifterna för att autentisera till gästkatalogen, så du måste skicka länken till henne för att slutföra registreringen. Markera kryssrutan adatum.onmicrosoft.com och välj sedan Registrera.

   

5. En ny webbläsarflik öppnas. Välj Kopiera länk längst ned på sidan och ange den till Mary.

6. Om du har autentiseringsuppgifterna för gästkatalogen kan du slutföra registreringen själv genom att välja Logga in.

   

Konfigurera gästkatalog

Mary fick e-postmeddelandet med länken för att registrera katalogen. Hon öppnar länken i en webbläsare och bekräftar Microsoft Entra-ID:t och Azure Resource Manager-slutpunkten för ditt Azure Stack Hub-system.

1. Mary loggar in med hjälp av sina autentiseringsuppgifter som global administratör för adatum.onmicrosoft.com.

   Anteckning

   Kontrollera att popup-blockerare är inaktiverade innan du loggar in.

   

2. Mary granskar statusen för katalogen och ser att den inte är registrerad.

   

3. Mary väljer Registrera för att starta processen.

   Anteckning

   Nödvändiga objekt för Visual Studio Code kanske inte kan skapas och måste använda PowerShell.

   

4. När registreringsprocessen är klar kan Mary granska alla program som skapades i katalogen och kontrollera deras status.

   

5. Mary har slutfört registreringsprocessen och kan nu dirigera Adatum-användare med @adatum.onmicrosoft.com konton att logga in genom att besöka Azure Stack Hub-användarportalen. För multinodsystem formateras användarportalens URL som https://portal.<region>.<FQDN>. För en ASDK-distribution är https://portal.local.azurestack.externalURL:en .

Viktigt

Det kan ta upp till en timme för Azure Stack-operatören att se katalogstatusen uppdaterad i administratörsportalen.

Mary måste också dirigera alla externa huvudkonton (användare i Adatum-katalogen utan suffixet adatum.onmicrosoft.com) för att logga in med .https://<user-portal-url>/adatum.onmicrosoft.com Om de inte anger katalogklientorganisationen /adatum.onmicrosoft.com i URL:en skickas de till standardkatalogen och får ett felmeddelande om att administratören inte har samtyckt.

Avregistrera en gästkatalog

Om du inte längre vill tillåta inloggningar till Azure Stack Hub-tjänster från en klientorganisation för gästkatalogen kan du avregistrera katalogen. Återigen måste både Azure Stack Hub-katalogen och gästkatalogen för hemmet konfigureras:

Konfigurera gästkatalog

Mary använder inte längre tjänster på Azure Stack Hub och måste ta bort objekten. Hon öppnar url:en igen som hon fick via e-post för att avregistrera katalogen. Innan du påbörjar den här processen tar Mary bort alla resurser från Azure Stack Hub-prenumerationen.

1. Mary loggar in med sina autentiseringsuppgifter som global administratör för adatum.onmicrosoft.com.

   Anteckning

   Kontrollera att blockering av popup-fönster är inaktiverat innan du loggar in.

   

2. Maria ser katalogens status.

   

3. Mary väljer Avregistrera för att starta åtgärden.

   

4. När processen är klar visas statusen som Inte registrerad:

   

   Mary har avregistrerat katalogen adatum.onmicrosoft.com.

   Anteckning

   Det kan ta upp till en timme att visa katalogen som inte registrerad i Azure Stack-administratörsportalen.

Konfigurera Azure Stack Hub-katalogen

Som Azure Stack Hub-operatör kan du ta bort gästkatalogen när som helst, även om Mary inte tidigare har avregistrerat katalogen.

1. Logga in på Azure Stack Hub-administratörsportalen och gå till Alla tjänster – kataloger.

   

2. Markera kryssrutan adatum.onmicrosoft.com katalog och välj sedan Ta bort.

   

3. Bekräfta borttagningsåtgärden genom att skriva ja och välja Ta bort.

   

   Du har tagit bort katalogen.

Hantera nödvändiga uppdateringar

Azure Stack Hub-uppdateringar kan ge stöd för nya verktyg eller tjänster som kan kräva en uppdatering av hem- eller gästkatalogen.

Som Azure Stack Hub-operatör får du en avisering i administratörsportalen som informerar dig om en nödvändig kataloguppdatering. Du kan också avgöra om en uppdatering krävs för hemkataloger eller gästkataloger genom att visa katalogfönstret i administratörsportalen. Varje kataloglista visar typen av katalog. Typen kan vara en hem- eller gästkatalog och dess status visas.

Uppdatera Azure Stack Hub-katalogerna

När en Azure Stack Hub-kataloguppdatering krävs visas statusen Uppdatering krävs . Exempel:

Om du vill uppdatera katalogen markerar du kryssrutan Katalognamn och väljer sedan Uppdatera.

Uppdatera gästkatalogen

En Azure Stack Hub-operatör bör också informera gästkatalogägaren om att de behöver uppdatera sin katalog med hjälp av url:en som delas för registrering. Operatorn kan skicka url:en igen, men den ändras inte.

Mary, ägaren av gästkatalogen, öppnar url:en som hon fick via e-post när hon registrerade katalogen:

1. Mary loggar in med sina autentiseringsuppgifter som global administratör för adatum.onmicrosoft.com. Kontrollera att blockering av popup-fönster är inaktiverat innan du loggar in.

   

2. Mary ser status för katalogen som säger att en uppdatering krävs.

3. Åtgärden Uppdatera är tillgänglig för Mary för att uppdatera gästkatalogen. Det kan ta upp till en timme att visa katalogen som registrerad i Azure Stack-administratörsportalen.

Fler funktioner

En Azure Stack Hub-operatör kan visa de prenumerationer som är associerade med en katalog. Dessutom har varje katalog en åtgärd för att hantera katalogen direkt i Azure Portal. För att hantera måste målkatalogen ha hanteringsbehörigheter i Azure Portal.

Nästa steg

• Hantera delegerade leverantörer
• Viktiga begrepp i Azure Stack Hub
• Hantera användning och fakturering för Azure Stack Hub som molnlösningsleverantör
• Lägga till klientorganisation för användning och fakturering i Azure Stack Hub