Ověření identity Azure
Pomocí nástroje Azure Stack Hub Readiness Checker (AzsReadinessChecker) ověřte, že je id Microsoft Entra připravené k použití se službou Azure Stack Hub. Před zahájením nasazení služby Azure Stack Hub ověřte řešení identit Azure.
Kontrola připravenosti ověří:
- Microsoft Entra ID jako zprostředkovatele identity pro Azure Stack Hub.
- Účet Microsoft Entra, který plánujete používat, se může přihlásit jako globální správce vašeho id Microsoft Entra.
Ověření zajišťuje, že je vaše prostředí připravené na to, aby služba Azure Stack Hub ukládala informace o uživatelích, aplikacích, skupinách a instančních objektech ze služby Azure Stack Hub do id Microsoft Entra.
Získání nástroje pro kontrolu připravenosti
Stáhněte si nejnovější verzi nástroje Azure Stack Hub Readiness Checker (AzsReadinessChecker) z Galerie prostředí PowerShell.
Instalace a konfigurace
Požadavky
Jsou vyžadovány následující požadavky:
Moduly Az PowerShellu
Budete muset mít nainstalované moduly Az PowerShellu. Pokyny najdete v tématu Instalace modulu PowerShell Az Preview.
Microsoft Entra prostředí
- Identifikujte Microsoft Entra účet, který se má použít pro Službu Azure Stack Hub, a ujistěte se, že se jedná o globálního správce Microsoft Entra.
- Identifikujte název tenanta Microsoft Entra. Název tenanta musí být primárním názvem domény pro vaše ID Microsoft Entra. Například contoso.onmicrosoft.com.
Postup ověření identity Azure
Na počítači, který splňuje požadavky, otevřete příkazový řádek PowerShellu se zvýšenými oprávněními a spuštěním následujícího příkazu nainstalujte AzsReadinessChecker:
Install-Module -Name Az.BootStrapper -Force -AllowPrerelease Install-AzProfile -Profile 2020-09-01-hybrid -Force Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrereleaseNa příkazovém řádku PowerShellu spusťte následující příkaz. Nahraďte
contoso.onmicrosoft.comnázvem tenanta Microsoft Entra:Connect-AzAccount -tenant contoso.onmicrosoft.comNa příkazovém řádku PowerShellu spusťte následující příkaz, který zahájí ověření id Microsoft Entra. Nahraďte
contoso.onmicrosoft.comnázvem tenanta Microsoft Entra:Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.comPo spuštění nástroje zkontrolujte výstup. Ověřte, že je stav v pořádku pro požadavky na instalaci. Úspěšné ověření se zobrazí jako v následujícím příkladu:
Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started. Starting Azure Identity Validation Checking Installation Requirements: OK Finished Azure Identity Validation Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json Invoke-AzsAzureIdentityValidation Completed
Sestava a soubor protokolu
Při každém spuštění ověřování protokoluje výsledky do azsReadinessChecker.log a AzsReadinessCheckerReport.json. Umístění těchto souborů se zobrazí s výsledky ověření v PowerShellu.
Tyto soubory vám můžou pomoct sdílet stav ověření před nasazením služby Azure Stack Hub nebo prozkoumat problémy s ověřováním. Oba soubory zachovají výsledky každé následné kontroly ověření. Sestava poskytne týmu nasazení potvrzení konfigurace identity. Soubor protokolu může pomoct vašemu týmu nasazení nebo týmu podpory prozkoumat problémy s ověřováním.
Ve výchozím nastavení se oba soubory zapisují do C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.
- Pomocí parametru
-OutputPath <path>na konci příkazového řádku spuštění určete jiné umístění sestavy. - Pomocí parametru
-CleanReportna konci příkazu run vymažte informace o předchozích spuštěních nástroje ze souboru AzsReadinessCheckerReport.json.
Další informace najdete v sestavě ověřování služby Azure Stack Hub.
Selhání ověření
Pokud ověřovací kontrola selže, zobrazí se podrobnosti o selhání v okně PowerShellu. Nástroj také protokoluje informace do souboru AzsReadinessChecker.log.
Následující příklady poskytují pokyny k běžným chybám ověřování.
Vypršela platnost hesla nebo dočasné heslo
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Příčina – Účet se nemůže přihlásit, protože platnost hesla vypršela nebo je dočasná.
Řešení – v PowerShellu spusťte následující příkaz a pak podle pokynů resetujte heslo:
Login-AzureRMAccount
Dalším způsobem je přihlásit se k Azure Portal jako vlastník účtu a uživatel bude nucen změnit heslo.
Neznámý typ uživatele
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Příčina – Účet se nemůže přihlásit k zadanému ID Microsoft Entra (AADDirectoryTenantName). V tomto příkladu je AzureChinaCloud zadaný jako AzureEnvironment.
Řešení – ověřte, že je účet platný pro zadané prostředí Azure. Spuštěním následujícího příkazu v PowerShellu ověřte, že je účet platný pro konkrétní prostředí:
Login-AzureRmAccount -EnvironmentName AzureChinaCloud
Účet není správcem
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Příčina – I když se účet může úspěšně přihlásit, účet není správcem id Microsoft Entra (AADDirectoryTenantName).
Řešení – Přihlaste se k Azure Portal jako vlastník účtu, přejděte na id Microsoft Entra, pak na Uživatelé a vyberte uživatele. Pak vyberte Role adresáře a ujistěte se, že uživatel je Globální správce. Pokud je účet uživatel, přejděte na Microsoft Entra ID>Vlastní názvy domén a ověřte, že název, který jste zadali pro AADDirectoryTenantName, je označen jako primární název domény pro tento adresář. V tomto příkladu je to contoso.onmicrosoft.com.
Azure Stack Hub vyžaduje, aby název domény byl primárním názvem domény.
Další kroky
Ověření registrace v Azure
Zobrazení sestavy připravenosti
Obecné aspekty integrace služby Azure Stack Hub