Konfigurera flera innehavare i Azure Stack Hub

Du kan konfigurera Azure Stack Hub för att stödja inloggningar från användare som finns i andra Azure Active Directory kataloger (Azure AD), så att de kan använda tjänster i Azure Stack Hub. Dessa kataloger har en "gästrelation" med din Azure Stack Hub-katalog och betraktas som gästklienter i Azure AD.

Tänk dig till exempel det här scenariot:

  • Du är tjänstadministratör för contoso.onmicrosoft.com, Azure AD-hemklientorganisationen som tillhandahåller identitets- och åtkomsthanteringstjänster till Azure Stack Hub.
  • Mary är katalogadministratör för adatum.onmicrosoft.com, gäst-Azure AD-klientorganisationen där gästanvändare finns.
  • Marys företag (Adatum) använder IaaS- och PaaS-tjänster från ditt företag. Adatum vill tillåta användare från gästkatalogen (adatum.onmicrosoft.com) att logga in och använda Azure Stack Hub-resurser som skyddas av contoso.onmicrosoft.com.

Den här guiden innehåller de steg som krävs i samband med det här scenariot för att aktivera eller inaktivera flera innehavare i Azure Stack Hub för en gästkatalogklient. Du och Mary utför den här processen genom att registrera eller avregistrera gästkatalogklientorganisationen, vilket aktiverar eller inaktiverar Azure Stack Hub-inloggningar och tjänstförbrukning för Adatum-användare.

Om du är en Molnlösningsleverantör (CSP) har du andra sätt att konfigurera och hantera en Azure Stack Hub för flera klientorganisationer.

Förutsättningar

Innan du registrerar eller avregistrerar en gästkatalog måste du och Mary slutföra administrativa steg för dina respektive Azure AD-klienter: Azure Stack Hub-hemkatalogen (Contoso) och gästkatalogen (Adatum):

Registrera en gästkatalog

Om du vill registrera en gästkatalog för flera klientorganisationer måste du konfigurera både Azure Stack Hub-katalogen för hemmet och gästkatalogen.

Konfigurera Azure Stack Hub-katalogen

Som tjänstadministratör för contoso.onmicrosoft.com måste du först publicera Adatums gästkatalogklientorganisation till Azure Stack Hub. Följande skript konfigurerar Azure Resource Manager att acceptera inloggningar från användare och tjänstens huvudnamn i adatum.onmicrosoft.com klientorganisation:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Konfigurera gästkatalog

Därefter måste Mary (katalogadministratör för Adatum) registrera Azure Stack Hub med adatum.onmicrosoft.com gästkatalog genom att köra följande skript:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Viktigt

Om din Azure Stack Hub-administratör installerar nya tjänster eller uppdateringar i framtiden kan du behöva köra det här skriptet igen.

Kör det här skriptet igen när som helst för att kontrollera statusen för Azure Stack Hub-apparna i din katalog.

Om du märker problem med att skapa virtuella datorer i Managed Disks (som introducerades i uppdateringen 1808) har en ny diskresursprovider lagts till, vilket kräver att skriptet körs igen.

Uppmana användare att logga in

Slutligen kan Mary dirigera Adatum-användare med @adatum.onmicrosoft.com konton för att logga in genom att besöka Azure Stack Hub-användarportalen. För multinodsystem formateras användarportalens URL som https://portal.<region>.<FQDN>. För en ASDK-distribution är https://portal.local.azurestack.externalURL:en .

Mary måste också dirigera alla externa huvudkonton (användare i katalogen Adatum utan suffixet adatum.onmicrosoft.com) att logga in med https://<user-portal-url>/adatum.onmicrosoft.com. Om de inte anger katalogklienten /adatum.onmicrosoft.com i URL:en skickas de till standardkatalogen och får ett felmeddelande om att administratören inte har samtyckt.

Avregistrera en gästkatalog

Om du inte längre vill tillåta inloggningar till Azure Stack Hub-tjänster från en klientorganisation för gästkatalogen kan du avregistrera katalogen. Återigen måste både Azure Stack Hub-katalogen för hemmet och gästkatalogen konfigureras:

  1. Som administratör för gästkatalogen (Mary i det här scenariot) kör du Unregister-AzsWithMyDirectoryTenant. Cmdleten avinstallerar alla Azure Stack Hub-appar från den nya katalogen.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest directory tenant.
    $guestDirectoryTenantName = "adatum.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. Som tjänstadministratör för Azure Stack Hub (du i det här scenariot) kör du cmdleten Unregister-AzSGuestDirectoryTenant :

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest directory tenant. 
    $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Varning

    Stegen för att inaktivera flera klientorganisationer måste utföras i ordning. Steg 1 misslyckas om steg 2 slutförs först.

Hämta hälsorapporten för Azure Stack Hub-identitet

<region>Ersätt platshållarna , <domain>och och <homeDirectoryTenant> kör sedan följande cmdlet som Azure Stack Hub-administratör.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Uppdatera Azure AD-klientbehörigheter

Den här åtgärden rensar en avisering i Azure Stack Hub som anger att en katalog kräver en uppdatering. Kör följande kommando från mappen Azurestack-tools-master/identity :

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

Skriptet uppmanar dig att ange administrativa autentiseringsuppgifter för Azure AD-klientorganisationen och det tar flera minuter att köra det. Aviseringen rensas när du har kört cmdleten.

Portalbaserad hantering stöds inte för den här versionen

Hantering av flera innehavare med hjälp av administratörsportalen är endast tillgängligt för version 2102 och senare. Välj en senare version med väljaren i den övre vänstra delen av sidan.

Registrera en gästkatalog

Om du vill registrera en gästkatalog för flera klientorganisationer måste du konfigurera både Azure Stack Hub-katalogen för hemmet och gästkatalogen.

Konfigurera Azure Stack Hub-katalogen

Det första steget är att göra ditt Azure Stack Hub-system medvetet om gästkatalogen. I det här exemplet kallas katalogen från Marys företag, Adatum, adatum.onmicrosoft.com.

  1. Logga in på Azure Stack Hub-administratörsportalen och gå till Alla tjänster – Kataloger.

    Screenshot that shows the list of directories.

  2. Välj Lägg till för att starta registreringsprocessen. Ange gästkatalognamnet "adatum.onmicrosoft.com" och välj sedan Lägg till.

    Screenshot that shows how to add a new directory.

  3. Gästkatalogen visas i listvyn med statusen oregistrerad.

    Screenshot that shows the new guest directory with an unregistered status.

  4. Endast Mary har autentiseringsuppgifterna för att autentisera till gästkatalogen, så du måste skicka länken till henne för att slutföra registreringen. Markera kryssrutan adatum.onmicrosoft.com och välj sedan Registrera.

    Screenshot that shows selecting a directory to register.

  5. En ny webbläsarflik öppnas. Välj Kopiera länk längst ned på sidan och ge den till Mary.

  6. Om du har autentiseringsuppgifterna för gästkatalogen kan du slutföra registreringen själv genom att välja Logga in.

    Screenshot that shows selecting sign in.

Konfigurera gästkatalog

Mary fick e-postmeddelandet med länken för att registrera katalogen. Hon öppnar länken i en webbläsare och bekräftar Azure Active Directory och Azure Resource Manager-slutpunkten för ditt Azure Stack Hub-system.

  1. Mary loggar in med sina autentiseringsuppgifter som global administratör för adatum.onmicrosoft.com.

    Anteckning

    Kontrollera att blockering av popup-fönster är inaktiverat innan du loggar in.

    Screenshot that shows signing in to manage a directory.

  2. Mary granskar statusen för katalogen och ser att den inte är registrerad.

    Screenshot that shows an unregistered directory.

  3. Mary väljer Registrera för att starta processen.

    Anteckning

    Nödvändiga objekt för Visual Studio Code kanske inte kan skapas och måste använda PowerShell.

    Screenshot that shows the starting directory registration.

  4. När registreringen är klar kan Mary granska alla program som har skapats i katalogen och kontrollera deras status.

    Screenshot that shows a registered directory.

  5. Mary har slutfört registreringsprocessen och kan nu dirigera Adatum-användare med @adatum.onmicrosoft.com konton att logga in genom att besöka Azure Stack Hub-användarportalen. För multinodsystem formateras användarportalens URL som https://portal.<region>.<FQDN>. För en ASDK-distribution är https://portal.local.azurestack.externalURL:en .

Viktigt

Det kan ta upp till en timme för Azure Stack-operatören att se katalogstatusen uppdaterad i administratörsportalen.

Mary måste också dirigera alla externa huvudkonton (användare i katalogen Adatum utan suffixet adatum.onmicrosoft.com) att logga in med https://<user-portal-url>/adatum.onmicrosoft.com. Om de inte anger katalogklienten /adatum.onmicrosoft.com i URL:en skickas de till standardkatalogen och får ett felmeddelande om att administratören inte har samtyckt.

Avregistrera en gästkatalog

Om du inte längre vill tillåta inloggningar till Azure Stack Hub-tjänster från en klientorganisation för gästkatalogen kan du avregistrera katalogen. Återigen måste både Azure Stack Hub-katalogen för hemmet och gästkatalogen konfigureras:

Konfigurera gästkatalog

Mary använder inte längre tjänster på Azure Stack Hub och måste ta bort objekten. Hon öppnar url:en igen som hon fick via e-post för att avregistrera katalogen. Innan du påbörjar den här processen tar Mary bort alla resurser från Azure Stack Hub-prenumerationen.

  1. Mary loggar in med sina autentiseringsuppgifter som global administratör för adatum.onmicrosoft.com.

    Anteckning

    Kontrollera att blockering av popup-fönster är inaktiverat innan du loggar in.

    Screenshot that shows selecting Sign In.

  2. Maria ser katalogens status.

    Screenshot that shows a registered directory.

  3. Mary väljer Avregistrera för att starta åtgärden.

    Screenshot that shows selecing Unregister to unregister a directory.

  4. När processen är klar visas statusen som Inte registrerad:

    Screenshot that shows a directory that has been unregistered.

    Mary har avregistrerat katalogen adatum.onmicrosoft.com.

    Anteckning

    Det kan ta upp till en timme att visa katalogen som inte registrerad i Azure Stack-administratörsportalen.

Konfigurera Azure Stack Hub-katalogen

Som Azure Stack Hub-operatör kan du ta bort gästkatalogen när som helst, även om Mary inte tidigare har avregistrerat katalogen.

  1. Logga in på Azure Stack Hub-administratörsportalen och gå till Alla tjänster – Kataloger.

    Screenshot that shows all directories.

  2. Markera kryssrutan adatum.onmicrosoft.com katalog och välj sedan Ta bort.

    Screenshot that shows selecting Remove for a directory.

  3. Bekräfta borttagningsåtgärden genom att skriva ja och välja Ta bort.

    Screenshot that shows how to remove a directory.

    Du har tagit bort katalogen.

Hantera nödvändiga uppdateringar

Azure Stack Hub-uppdateringar kan ge stöd för nya verktyg eller tjänster som kan kräva en uppdatering av hem- eller gästkatalogen.

Som Azure Stack Hub-operatör får du en avisering i administratörsportalen som informerar dig om en nödvändig kataloguppdatering. Du kan också avgöra om en uppdatering krävs för hemkataloger eller gästkataloger genom att visa katalogfönstret i administratörsportalen. Varje kataloglista visar typen av katalog. Typen kan vara en hem- eller gästkatalog och dess status visas.

Uppdatera Azure Stack Hub-katalogerna

När en Azure Stack Hub-kataloguppdatering krävs visas statusen Uppdatering krävs . Ett exempel:

Screenshot that shows a directory requiring an update.

Om du vill uppdatera katalogen markerar du kryssrutan Katalognamn och väljer sedan Uppdatera.

Uppdatera gästkatalogen

En Azure Stack Hub-operatör bör också informera gästkatalogägaren om att de behöver uppdatera sin katalog med hjälp av url:en som delas för registrering. Operatorn kan skicka url:en igen, men den ändras inte.

Mary, ägaren av gästkatalogen, öppnar url:en som hon fick via e-post när hon registrerade katalogen:

  1. Mary loggar in med sina autentiseringsuppgifter som global administratör för adatum.onmicrosoft.com. Kontrollera att blockering av popup-fönster är inaktiverat innan du loggar in.

    Screenshot that shows selecting Sign In.

  2. Mary ser status för katalogen som säger att en uppdatering krävs.

  3. Åtgärden Uppdatera är tillgänglig för Mary för att uppdatera gästkatalogen. Det kan ta upp till en timme att visa katalogen som registrerad i Azure Stack-administratörsportalen.

Fler funktioner

En Azure Stack Hub-operatör kan visa de prenumerationer som är associerade med en katalog. Dessutom har varje katalog en åtgärd för att hantera katalogen direkt i Azure Portal. För att hantera måste målkatalogen ha hanteringsbehörigheter i Azure Portal.

Nästa steg