Konfigurieren der Mehrinstanzenfähigkeit in Azure Stack Hub
Sie können Azure Stack Hub so konfigurieren, dass Anmeldungen von Benutzern unterstützt werden, die sich in anderen Microsoft Entra Verzeichnissen befinden, sodass diese Dienste in Azure Stack Hub verwenden können. Diese Verzeichnisse verfügen über eine Gastbeziehung mit Ihrem Azure Stack Hub-Verzeichnis und gelten als Gastmandanten Microsoft Entra.
Stellen Sie sich z. B. das folgende Szenario vor:
- Sie sind der Dienstadministrator von contoso.onmicrosoft.com, dem Home Microsoft Entra Mandanten, der Identitäts- und Zugriffsverwaltungsdienste für Azure Stack Hub bereitstellt.
- Mary ist der Verzeichnisadministrator von adatum.onmicrosoft.com, dem Gast Microsoft Entra Mandanten, in dem sich Gastbenutzer befinden.
- Marys Arbeitgeber (Adatum) setzt IaaS- und PaaS-Dienste Ihres Unternehmens ein. Adatum möchte, dass Benutzer aus dem Gastverzeichnis (adatum.onmicrosoft.com) sich anmelden und von contoso.onmicrosoft.com geschützte Azure Stack Hub-Ressourcen verwenden können.
In dieser Anleitung finden Sie die für dieses Szenario erforderlichen Schritte, um die Mehrinstanzenfähigkeit für Gastverzeichnismandanten in Azure Stack Hub zu aktivieren oder zu deaktivieren. Sie und Mary erreichen dieses Ziel, indem Sie das Gastverzeichnis registrieren oder die Registrierung aufheben. Dadurch werden Anmeldungen bei Azure Stack Hub und die Nutzung von Azure Stack Hub-Diensten durch Adatum-Benutzer aktiviert bzw. deaktiviert.
Als Cloud Solution Provider (CSP) haben Sie zusätzliche Möglichkeiten, einen Azure Stack Hub für mehrere Mandanten zu konfigurieren und zu verwalten.
Voraussetzungen
Bevor Sie ein Gastverzeichnis registrieren oder die Registrierung aufheben, müssen Sie und Mary administrative Schritte für Ihre jeweiligen Microsoft Entra Mandanten ausführen: das Azure Stack Hub-Basisverzeichnis (Contoso) und das Gastverzeichnis (Adatum):
Installieren und Konfigurieren von PowerShell für die Verwendung mit Azure Stack Hub
Laden Sie die Azure Stack Hub-Tools herunter und importieren Sie die Module „Connect“ und „Identity“:
Import-Module .\Identity\AzureStack.Identity.psm1
Registrieren eines Gastverzeichnisses
Damit Sie ein Gastverzeichnis für die Mehrinstanzfähigkeit registrieren können, müssen das Azure Stack Hub-Stammverzeichnis und das Gastverzeichnis konfiguriert werden.
Konfigurieren des Azure Stack Hub-Verzeichnisses
Als Dienstadministrator von contoso.onmicrosoft.com müssen Sie zunächst ein Onboarding für den Adatum-Gastverzeichnismandanten in Azure Stack Hub durchführen. Das folgende Skript konfiguriert den Azure Resource Manager so, dass Anmeldungen von Benutzern und Dienstprinzipalen des Mandanten adatum.onmicrosoft.com akzeptiert werden:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"
## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"
## Replace the value below with the region location of the resource group.
$location = "local"
# Subscription Name
$SubscriptionName = "Default Provider Subscription"
Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
-DirectoryTenantName $azureStackDirectoryTenant `
-GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
-Location $location `
-ResourceGroupName $ResourceGroupName `
-SubscriptionName $SubscriptionName
Konfigurieren des Gastverzeichnisses
Als Nächstes muss Mary (Verzeichnisadministratorin von Adatum) Azure Stack Hub beim Gastverzeichnis von adatum.onmicrosoft.com registrieren, indem sie das folgende Skript ausführt:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"
Register-AzSWithMyDirectoryTenant `
-TenantResourceManagerEndpoint $tenantARMEndpoint `
-DirectoryTenantName $guestDirectoryTenantName `
-Verbose
Wichtig
Wenn Ihr Azure Stack Hub-Administrator künftig neue Dienste oder Updates installiert, müssen Sie dieses Skript möglicherweise erneut ausführen.
Sie können dieses Skript zu einem beliebigen Zeitpunkt erneut ausführen, um den Status der Azure Stack Hub-Apps in Ihrem Verzeichnis zu überprüfen.
Wenn Sie Probleme beim Erstellen von virtuellen Computern in Managed Disks festgestellt haben (eingeführt im Update 1808), wurde ein neuer Datenträger-Ressourcenanbieter hinzugefügt, der eine erneute Ausführung dieses Skripts erfordert.
Weiterleiten von Benutzern zur Anmeldung
Schließlich kann Mary Adatum-Benutzer mit @adatum.onmicrosoft.com-Konten zur Anmeldung weiterleiten, indem diese das Azure Stack Hub-Benutzerportal aufrufen. Für Systeme mit mehreren Knoten wird das URL-Format https://portal.<region>.<FQDN>
für das Benutzerportal benötigt. Für ASDK-Bereitstellungen lautet die URL https://portal.local.azurestack.external
.
Mary muss außerdem alle fremden Prinzipale (Benutzer im Adatum-Verzeichnis ohne das Suffix adatum.onmicrosoft.com) weiterleiten, damit diese sich über https://<user-portal-url>/adatum.onmicrosoft.com
anmelden. Wenn diese Benutzer den Verzeichnismandanten /adatum.onmicrosoft.com
nicht in der URL angeben, werden sie an ihr Standardverzeichnis weitergeleitet und erhalten eine Fehlermeldung mit dem Hinweis, dass ihr Administrator nicht zugestimmt hat.
Aufheben der Registrierung eines Gastverzeichnisses
Wenn Sie Anmeldungen bei Azure Stack Hub-Diensten nicht mehr über Gastverzeichnismandanten zulassen möchten, können Sie die Registrierung des Verzeichnisses aufheben. Auch in diesem Fall müssen das Azure Stack Hub-Stammverzeichnis und das Gastverzeichnis konfiguriert werden:
Als Administrator für das Gastverzeichnis (Mary in diesem Szenario) führen Sie
Unregister-AzsWithMyDirectoryTenant
aus. Das Cmdlet deinstalliert alle Azure Stack Hub-Apps aus dem neuen Verzeichnis.## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>. $tenantARMEndpoint = "https://management.local.azurestack.external" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantName = "adatum.onmicrosoft.com" Unregister-AzsWithMyDirectoryTenant ` -TenantResourceManagerEndpoint $tenantARMEndpoint ` -DirectoryTenantName $guestDirectoryTenantName ` -Verbose
Der Dienstadministrator von Azure Stack Hub (Sie in diesem Szenario) muss das Cmdlet
Unregister-AzSGuestDirectoryTenant
ausführen:## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>. $adminARMEndpoint = "https://adminmanagement.local.azurestack.external" ## Replace the value below with the Azure Stack Hub directory $azureStackDirectoryTenant = "contoso.onmicrosoft.com" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com" ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist). $ResourceGroupName = "system.local" Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint ` -DirectoryTenantName $azureStackDirectoryTenant ` -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned ` -ResourceGroupName $ResourceGroupName
Warnung
Die Schritte zur Deaktivierung der Mehrinstanzenfähigkeit müssen in dieser Reihenfolge ausgeführt werden. Schritt 1 schlägt fehl, wenn Schritt 2 zuerst abgeschlossen wird.
Abrufen des Berichts zur Azure Stack Hub-Identitätsintegrität
Ersetzen Sie die Platzhalter <region>
, <domain>
und <homeDirectoryTenant>
, und führen Sie dann das folgende Cmdlet als Azure Stack Hub-Administrator aus:
$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft
Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft
Aktualisieren Microsoft Entra Mandantenberechtigungen
Durch die folgende Aktion wird eine Warnung in Azure Stack Hub gelöscht, die darauf hinweist, dass ein Verzeichnis aktualisiert werden muss. Führen Sie im Ordner Azurestack-tools-master/identity den folgenden Befehl aus:
Import-Module ..\Identity\AzureStack.Identity.psm1
$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"
Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
-DirectoryTenantName $homeDirectoryTenantName -Verbose
Das Skript fordert Sie zur Eingabe administrativer Anmeldeinformationen für den Microsoft Entra Mandanten auf und benötigt mehrere Minuten. Die Warnung sollte nach dem Ausführen des Cmdlets nicht mehr angezeigt werden.
Die portalbasierte Verwaltung wird für diese Version nicht unterstützt.
Die Mehrmandanzverwaltung über das Administratorportal ist nur für die Versionen 2102 und höher verfügbar. Wählen Sie eine höhere Version mithilfe des Selektors im oberen linken Teil der Seite aus.
Registrieren eines Gastverzeichnisses
Damit Sie ein Gastverzeichnis für die Mehrinstanzfähigkeit registrieren können, müssen das Azure Stack Hub-Stammverzeichnis und das Gastverzeichnis konfiguriert werden.
Konfigurieren des Azure Stack Hub-Verzeichnisses
Der erste Schritt besteht darin, ihr Azure Stack Hub System auf das Gastverzeichnis aufmerksam zu machen. In diesem Beispiel wird das Verzeichnis von Marys Unternehmen Adatum als adatum.onmicrosoft.com bezeichnet.
Melden Sie sich beim Azure Stack Hub-Administratorportal an, und wechseln Sie zu Alle Dienste: Verzeichnisse.
Wählen Sie zum Starten des Onboarding-Prozesses die Option Hinzufügen aus. Geben Sie den Namen des Gastverzeichnisses „adatum.onmicrosoft.com“ ein und wählen Sie anschließend Hinzufügen aus.
Das Gastverzeichnis wird in der Listenansicht mit dem Status nicht registriert angezeigt.
Nur Mary verfügt über die Anmeldeinformationen für die Authentifizierung beim Gastverzeichnis, daher müssen Sie ihr den Link senden, um die Registrierung abzuschließen. Aktivieren Sie das Kontrollkästchen adatum.onmicrosoft.com und wählen Sie dann Registrieren aus.
Im Browser wird eine neue Registerkarte geöffnet. Wählen Sie unten auf der Seite Link kopieren aus und geben Sie ihn Mary an.
Wenn Sie über die Anmeldeinformationen für das Gastverzeichnis verfügen, können Sie die Registrierung selbst abschließen, indem Sie Anmelden auswählen.
Konfigurieren des Gastverzeichnisses
Mary hat die E-Mail mit dem Link zum Registrieren des Verzeichnisses erhalten. Sie öffnet den Link in einem Browser und bestätigt die Microsoft Entra-ID und den Azure Resource Manager-Endpunkt Ihres Azure Stack Hub-Systems.
Mary meldet sich mit ihren globalen Administratoranmeldeinformationen für adatum.onmicrosoft.com an.
Hinweis
Stellen Sie sicher, dass Popupblocker deaktiviert sind, bevor Sie sich anmelden.
Mary überprüft den Status des Verzeichnisses und sieht, dass es nicht registriert ist.
Mary wählt Registrieren aus, um den Prozess zu starten.
Hinweis
Erforderliche Objekte für Visual Studio Code können möglicherweise nicht erstellt werden und müssen PowerShell verwenden.
Nachdem der Registrierungsprozess abgeschlossen ist, kann Mary alle Anwendungen überprüfen, die im Verzeichnis erstellt wurden, und ihren Status überprüfen.
Mary hat den Registrierungsprozess erfolgreich abgeschlossen und kann jetzt Adatum-Benutzer mit @adatum.onmicrosoft.com Konten zur Anmeldung anweisen, indem sie das Azure Stack Hub-Benutzerportal aufrufen. Für Systeme mit mehreren Knoten wird das URL-Format
https://portal.<region>.<FQDN>
für das Benutzerportal benötigt. Für ASDK-Bereitstellungen lautet die URLhttps://portal.local.azurestack.external
.
Wichtig
Es kann bis zu einer Stunde dauern, bis für den Azure Stack-Operator der Verzeichnisstatus im Verwaltungsportal als aktualisiert angezeigt wird.
Mary muss außerdem alle fremden Prinzipale (Benutzer im Adatum-Verzeichnis ohne das Suffix adatum.onmicrosoft.com) weiterleiten, damit diese sich über https://<user-portal-url>/adatum.onmicrosoft.com
anmelden. Wenn diese Benutzer den Verzeichnismandanten /adatum.onmicrosoft.com
nicht in der URL angeben, werden sie an ihr Standardverzeichnis weitergeleitet und erhalten eine Fehlermeldung mit dem Hinweis, dass ihr Administrator nicht zugestimmt hat.
Aufheben der Registrierung eines Gastverzeichnisses
Wenn Sie Anmeldungen bei Azure Stack Hub-Diensten nicht mehr über Gastverzeichnismandanten zulassen möchten, können Sie die Registrierung des Verzeichnisses aufheben. Auch in diesem Fall müssen das Azure Stack Hub-Stammverzeichnis und das Gastverzeichnis konfiguriert werden:
Konfigurieren des Gastverzeichnisses
Mary verwendet keine Dienste mehr auf Azure Stack Hub und muss die Objekte entfernen. Sie öffnet erneut die URL, die sie per E-Mail erhalten hat, um die Registrierung des Verzeichnisses aufzuheben. Bevor Mary mit diesem Prozess beginnt, entfernt sie alle Ressourcen aus dem Azure Stack Hub-Abonnement.
Mary meldet sich mit ihren globalen Administratoranmeldeinformationen für adatum.onmicrosoft.com an.
Hinweis
Stellen Sie sicher, dass Popupblocker deaktiviert sind, bevor Sie sich anmelden.
Mary sieht den Status des Verzeichnisses.
Mary wählt Registrierung aufheben aus, um die Aktion zu starten.
Wenn der Prozess abgeschlossen ist, wird der Status Nicht registriert angezeigt:
Mary hat die Registrierung des Verzeichnisses adatum.onmicrosoft.com erfolgreich aufgehoben.
Hinweis
Es kann bis zu einer Stunde dauern, bis das Verzeichnis im Azure Stack-Verwaltungsportal als „nicht registriert“ angezeigt wird.
Konfigurieren des Azure Stack Hub-Verzeichnisses
Als Azure Stack Hub-Operator können Sie das Gastverzeichnis jederzeit entfernen, auch wenn Mary die Registrierung des Verzeichnisses noch nicht aufgehoben hat.
Melden Sie sich beim Azure Stack Hub-Administratorportal an, und wechseln Sie zu Alle Dienste: Verzeichnisse.
Aktivieren Sie das Kontrollkästchen für das Verzeichnis adatum.onmicrosoft.com und wählen Sie dann Entfernen aus.
Bestätigen Sie die Löschaktion, indem Sie Ja eingeben und Entfernenauswählen.
Sie haben das Verzeichnis erfolgreich entfernt.
Verwalten erforderlicher Updates
Azure Stack Hub-Updates können Unterstützung für neue Tools oder Dienste einführen, die möglicherweise ein Update des Stamm- oder Gastverzeichnisses erfordern.
Als Azure Stack Hub-Operator erhalten Sie im Verwaltungsportal eine Warnung, die Sie über ein erforderliches Verzeichnisupdate informiert. Sie können auch ermitteln, ob ein Update für Heim- oder Gastverzeichnisse erforderlich ist, indem Sie den Bereich „Verzeichnisse“ im Verwaltungsportal anzeigen. Jede Verzeichnisauflistung zeigt den Typ des Verzeichnisses an. Der Typ kann ein Home- oder Gastverzeichnis sein und sein Status wird angezeigt.
Aktualisieren der Azure Stack Hub-Verzeichnisse
Wenn ein Azure Stack Hub-Verzeichnisupdate erforderlich ist, wird der Status Update erforderlich angezeigt. Beispiel:
Aktivieren Sie zum Aktualisieren des Verzeichnisses das Kontrollkästchen Verzeichnisname und wählen Sie dann Aktualisieren aus.
Aktualisieren des Gastverzeichnisses
Ein Azure Stack Hub-Operator sollte auch den Besitzer des Gastverzeichnisses darüber informieren, dass er sein Verzeichnis mithilfe der für die Registrierung freigegebenen URL aktualisieren muss. Der Operator kann die URL erneut senden, sie ändert sich aber nicht.
Mary, die Besitzerin des Gastverzeichnisses, öffnet die URL, die sie per E-Mail erhalten hat, als sie das Verzeichnis registriert hat:
Mary meldet sich mit ihren globalen Administratoranmeldeinformationen für adatum.onmicrosoft.com an. Stellen Sie sicher, dass Popupblocker deaktiviert sind, bevor Sie sich anmelden.
Mary sieht den Status des Verzeichnisses, der sagt, dass ein Update erforderlich ist.
Die Aktion Update ist für Mary verfügbar, um das Gastverzeichnis zu aktualisieren. Es kann bis zu einer Stunde dauern, bis das Verzeichnis im Azure Stack-Verwaltungsportal als registriert angezeigt wird.
Zusätzliche Funktionen
Ein Azure Stack Hub-Operator kann die Abonnements anzeigen, die einem Verzeichnis zugeordnet sind. Darüber hinaus verfügt jedes Verzeichnis über eine Aktion zum Verwalten des Verzeichnisses direkt im Azure-Portal. Für die Verwaltung muss das Zielverzeichnis über Berechtigungen zum Verwalten im Azure-Portal verfügen.