Registrieren Sie Ihre Rechner und vergeben Sie Berechtigungen für die Azure Local-Bereitstellung

2025-07-07

Gilt für: Azure Local 2311.2 und höher

Dieser Artikel beschreibt, wie Sie Ihre Azure Local-Rechner registrieren und dann die erforderlichen Berechtigungen für die Bereitstellung von Azure Local einrichten.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

Voraussetzungen für den lokalen Azure-Computer

Vollständige Voraussetzungen und vollständige Bereitstellungsprüfliste für Ihre Umgebung.
Vorbereiten der Active Directory-Umgebung .
Laden Sie die Software herunter, und installieren Sie das Azure Stack HCI-Betriebssystem, Version 23H2 auf jedem Computer.

Voraussetzungen für Azure

Registrieren Sie die erforderlichen Ressourcenanbieter. Stellen Sie sicher, dass Ihr Azure-Abonnement für die erforderlichen Ressourcenanbieter registriert ist. Um sich zu registrieren, müssen Sie Besitzer oder Mitwirkender in Ihrem Abonnement sein. Sie können auch einen Administrator bitten, sich zu registrieren.

Führen Sie zum Registrieren die folgenden PowerShell-Befehle aus:

Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights"

Hinweis

Es wird davon ausgegangen, dass die Person, die das Azure-Abonnement bei den Ressourcenanbietern registriert, eine andere Person ist als die, die die Azure Local Machines bei Arc registriert.
Microsoft.Insights Der Ressourcenanbieter ist für die Überwachung und Protokollierung erforderlich. Wenn dieses RP nicht registriert ist, schlägt die Diagnosekonto- und Key Vault-Überwachungsprotokollierung während der Überprüfung fehl.

Erstellen Sie eine Ressourcengruppe. Führen Sie die Schritte zum Erstellen einer Ressourcengruppe aus, in der Sie Ihre Computer registrieren möchten. Notieren Sie sich den Ressourcengruppennamen und die zugehörige Abonnement-ID.
Rufen Sie die Mandanten-ID ab. Führen Sie die Schritte unter Abrufen der Mandanten-ID Ihres Microsoft Entra-Mandanten über das Azure-Portal aus:
1. Wechseln Sie im Azure-Portal zu "Microsoft Entra ID>Properties".
2. Scrollen Sie nach unten zum Abschnitt "Mandanten-ID", und kopieren Sie den Wert der Mandanten-ID , der später verwendet werden soll.
Überprüfen Sie die Berechtigungen. Stellen Sie beim Registrieren von Computern als Arc-Ressourcen sicher, dass Sie entweder der Besitzer der Ressourcengruppe sind oder über die folgenden Berechtigungen für die Ressourcengruppe verfügen, in der die Computer bereitgestellt werden:
- Azure Connected Machine Onboarding.
- Azure Connected Machine Resource Administrator.
Um zu überprüfen, ob Sie über diese Rollen verfügen, führen Sie die folgenden Schritte im Azure-Portal aus:
1. Wechseln Sie zu dem Abonnement, das Sie für die lokale Azure-Bereitstellung verwendet haben.
2. Wechseln Sie zu der Ressourcengruppe, in der Sie den Computer registrieren möchten.
3. Wechseln Sie im linken Bereich zu Access Control (IAM).
4. Wechseln Sie im rechten Bereich zu Rollenzuweisungen. Vergewissern Sie sich, dass Ihnen die Rollen Azure Connected Machine Onboarding und Azure Connected Machine Resource Administrator zugewiesen sind.
Prüfen Sie Ihre Azure-Richtlinien. Stellen Sie Folgendes sicher:
- Die Azure-Richtlinien blockieren die Installation von Erweiterungen nicht.
- Die Azure-Richtlinien blockieren nicht die Erstellung von bestimmten Ressourcentypen in einer Ressourcengruppe.
- Die Azure-Richtlinien blockieren die Bereitstellung von Ressourcen an bestimmten Standorten nicht.

Rechner bei Azure Arc registrieren

Wichtig

Führen Sie diese Schritte als lokaler Administrator auf jedem lokalen Azure-Computer aus, den Sie clustern möchten.

Legen Sie die Parameter fest. Das Skript nimmt die folgenden Parameter auf:

Parameter	Beschreibung
`SubscriptionID`	Die ID des Abonnements, mit dem Sie Ihre Rechner bei Azure Arc registrieren.
`TenantID`	Die Mandanten-ID, die zum Registrieren Ihrer Computer bei Azure Arc verwendet wird. Rufen Sie Ihre Microsoft Entra ID auf und kopieren Sie die Eigenschaft der Mandanten-ID.
`ResourceGroup`	Die Ressourcengruppe wurde für die Arc-Registrierung der Computer vorkonfiguriert. Eine Ressourcengruppe wird erstellt, wenn noch keine vorhanden ist.
`Region`	Die für die Registrierung verwendete Azure-Region. Siehe die unterstützten Regionen , die verwendet werden können.
`AccountID`	Der Benutzer, der die Instanz registriert und bereitstellt.
`ProxyServer`	Dieser Parameter ist optional. Proxy-Server-Adresse, wenn sie für ausgehende Verbindungen erforderlich ist.
`DeviceCode`	Der Gerätecode, der in der Konsole unter `https://microsoft.com/devicelogin` angezeigt wird und mit dem Sie sich am Gerät anmelden können.

PowerShell
Ausgabe

#Define the subscription where you want to register your machine as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your machine as Arc device
$RG = "YourResourceGroupName"

#Define the region to use to register your server as Arc device
#Do not use spaces or capital letters when defining region
$Region = "eastus"

#Define the tenant you will use to register your machine as Arc device
$Tenant = "YourTenantID"

#Define the proxy address if your Azure Local deployment accesses the internet via proxy
$ProxyServer = "http://proxyaddress:port"

Hier sehen Sie ein Beispiel für die Ausgabe der Parameter:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"
PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"

Verbinden Sie sich mit Ihrem Azure-Konto und richten Sie das Abonnement ein. Öffnen Sie einen Browser auf dem Client, den Sie zum Herstellen einer Verbindung mit dem Computer verwenden, und öffnen Sie diese Seite: https://microsoft.com/devicelogin und geben Sie den bereitgestellten Code in die Azure CLI-Ausgabe ein, um sich zu authentifizieren. Rufen Sie das Zugangs-Token und die Konto-ID für die Registrierung ab.

PowerShell
Ausgabe

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken -WarningAction SilentlyContinue).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Hier sehen Sie ein Beispiel für die Einstellung des Abonnements und der Authentifizierung:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                ----------- 
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Führen Sie schließlich das Skript zur Registrierung von Arc aus. Die Skriptausführung kann einige Minuten dauern.

PowerShell
Ausgabe

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

Wenn Sie über einen Proxyserver auf das Internet zugreifen, müssen Sie den -Proxy Parameter hinzufügen und den Proxyserver im Format http://<Proxy server FQDN or IP address>:Port bereitstellen, wenn das Skript ausgeführt wird.

Eine Liste der unterstützten Azure-Regionen finden Sie unter Azure-Anforderungen.

Hier sehen Sie ein Beispiel für eine erfolgreiche Registrierung Ihrer Rechner:

PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
>>
Configuration saved to: C:\Users\ADMINI~1\AppData\Local\Temp\bootstrap.json
Triggering bootstrap on the device...
Waiting for bootstrap to complete... Current Status: InProgress
=========SNIPPED=========SNIPPED=============
Waiting for bootstrap to complete... Current Status: InProgress
Waiting for bootstrap to complete... Current Status: Succeeded
Bootstrap succeeded.

Triggering bootstrap log collection as a best effort.
Version Response                                                    
------- --------                                                    
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response


PS C:\Users\Administrator>

Nachdem das Skript auf allen Rechnern erfolgreich abgeschlossen wurde, überprüfen Sie, ob:
1. Ihre Geräte sind bei Arc registriert. Gehen Sie zum Azure-Portal und dann zu der mit der Registrierung verbundenen Ressourcengruppe. Die Computer werden innerhalb der angegebenen Ressourcengruppe als Computer - Azure Arc-Typressourcen angezeigt.

Hinweis

Sobald ein Azure Local-Rechner bei Azure Arc registriert ist, besteht die einzige Möglichkeit, die Registrierung rückgängig zu machen, darin, das Betriebssystem erneut auf dem Rechner zu installieren.

Erforderliche Berechtigungen für die Bereitstellung zuweisen

Dieser Abschnitt beschreibt, wie Sie Azure-Berechtigungen für die Bereitstellung über das Azure-Portal zuweisen.

Wechseln Sie im Azure-Portal zum Abonnement, das zum Registrieren der Computer verwendet wird. Wählen Sie im linken Bereich access control (IAM) aus. Wählen Sie im rechten Bereich +Hinzufügen und in der Dropdownliste die Option "Rollenzuweisung hinzufügen" aus.
Gehen Sie die Registerkarten durch und weisen Sie dem Benutzer, der die Instanz bereitstellt, die folgenden Rollenberechtigungen zu:
- Azure Stack HCI-Administrator
- Leser
Gehen Sie im Azure-Portal zu der Ressourcengruppe, die für die Registrierung der Rechner in Ihrem Abonnement verwendet wird. Wählen Sie im linken Bereich access control (IAM) aus. Wählen Sie im rechten Bereich +Hinzufügen und in der Dropdownliste die Option "Rollenzuweisung hinzufügen" aus.
Gehen Sie die Registerkarten durch und weisen Sie dem Benutzer, der die Local-Instanz bereitstellt, die folgenden Berechtigungen zu:
- Key Vault-Datenzugriffsadmin: Diese Berechtigung ist erforderlich, um Berechtigungen für die Datenebene für den für die Bereitstellung verwendeten Schlüsseltresor zu verwalten.
- Key Vault Secrets Officer: Diese Berechtigung ist erforderlich, um Geheimnisse im Schlüsseltresor zu lesen und zu schreiben, der für die Bereitstellung verwendet wird.
- Key Vault-Mitwirkender: Diese Berechtigung ist erforderlich, um den für die Bereitstellung verwendeten Schlüsseltresor zu erstellen.
- Mitwirkender des Speicherkontos: Diese Berechtigung ist erforderlich, um das für die Bereitstellung verwendete Speicherkonto zu erstellen.
Wechseln Sie im rechten Bereich zu Rollenzuweisungen. Überprüfen Sie, ob der Bereitstellungsbenutzer über alle konfigurierten Rollen verfügt.
Wechseln Sie im Azure-Portal zu Microsoft Entra-Rollen und -Administratoren, und weisen Sie die Rollenberechtigung Cloudanwendungsadmin auf Microsoft Entra-Mandantenebene zu.

Hinweis

Die Berechtigung "Cloudanwendungsadministrator" ist vorübergehend notwendig, um den Dienstprinzipal anzulegen. Nach der Bereitstellung kann diese Berechtigung wieder entfernt werden.

Nächste Schritte

Nachdem Sie die erste Maschine in Ihrer Instanz eingerichtet haben, sind Sie bereit für die Bereitstellung über das Azure-Portal:

Bereitstellen mithilfe des Azure-Portals.