Compartir a través de


Validación de la identidad de Azure

Use la herramienta Azure Stack Hub Readiness Checker (AzsReadinessChecker) para validar que el identificador de Microsoft Entra está listo para usarse con Azure Stack Hub. Antes de empezar a implementar Azure Stack Hub, valide la solución de identidad de Azure.

La herramienta Readiness Checker valida:

  • Microsoft Entra identificador como proveedor de identidades para Azure Stack Hub.
  • La cuenta de Microsoft Entra que planea usar puede iniciar sesión como administrador global del identificador de Microsoft Entra.

La validación garantiza que el entorno esté listo para que Azure Stack Hub almacene información sobre usuarios, aplicaciones, grupos y entidades de servicio de Azure Stack Hub en el identificador de Microsoft Entra.

Obtención de la herramienta Readiness Checker

Descargue la versión más reciente de la herramienta Azure Stack Hub Readiness Checker (AzsReadinessChecker) desde la Galería de PowerShell.

Instalar y configurar

Requisitos previos

Se necesitan los siguientes requisitos previos:

Módulos Az de PowerShell

Tendrá que tener instalados los módulos Az de PowerShell. Para obtener instrucciones, consulte Instalación del módulo Az de PowerShell en versión preliminar.

Entorno de Microsoft Entra

  • Identifique la cuenta de Microsoft Entra que se va a usar para Azure Stack Hub y asegúrese de que es un administrador global de Microsoft Entra.
  • Identifique el nombre del inquilino de Microsoft Entra. El nombre del inquilino debe ser el nombre de dominio principal del identificador de Microsoft Entra. Por ejemplo, contoso.onmicrosoft.com.

Pasos para validar la identidad de Azure

  1. En un equipo que cumpla los requisitos previos, abra un símbolo del sistema de comandos de PowerShell con privilegios elevados y ejecute el siguiente comando para instalar AzsReadinessChecker:

    Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
    Install-AzProfile -Profile 2020-09-01-hybrid -Force
    Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
    
  2. En el símbolo del sistema de PowerShell, ejecute el siguiente comando. Reemplace por contoso.onmicrosoft.com el nombre del inquilino de Microsoft Entra:

    Connect-AzAccount -tenant contoso.onmicrosoft.com
    
  3. En el símbolo del sistema de PowerShell, ejecute el siguiente comando para iniciar la validación del identificador de Microsoft Entra. Reemplace por contoso.onmicrosoft.com el nombre del inquilino de Microsoft Entra:

    Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
    
  4. Después de ejecutar la herramienta, revise el resultado. Confirme que el estado es correcto para los requisitos de instalación. Una validación correcta tiene un aspecto similar al del siguiente ejemplo:

    Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
    Starting Azure Identity Validation
    
    Checking Installation Requirements: OK
    
    Finished Azure Identity Validation
    
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
    Invoke-AzsAzureIdentityValidation Completed
    

Informe y archivo de registro

Cada vez que se ejecuta la validación, los resultados se registran en AzsReadinessChecker.log y AzsReadinessCheckerReport.json. La ubicación de estos archivos se muestra con los resultados de validación de PowerShell.

Estos archivos pueden ayudarle a compartir el estado de validación antes de implementar Azure Stack Hub o de investigar problemas de validación. Ambos archivos conservan los resultados de cada comprobación de validación posterior. El informe ofrece la confirmación del equipo de implementación de la configuración de identidad. El archivo de registro puede ayudar al equipo de implementación o de soporte técnico a investigar los problemas de validación.

De forma predeterminada, ambos archivos se escriben en C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

  • Use el parámetro -OutputPath <path> al final de la línea de comandos de ejecución para especificar otra ubicación para el informe.
  • Use el parámetro -CleanReport al final del comando de ejecución para borrar la información de ejecuciones anteriores de la herramienta desde AzsReadinessCheckerReport.json.

Para más información, consulte Informe de validación para Azure Stack Hub.

Errores de validación

Si se producen errores en una comprobación de validación, los detalles sobre los errores se muestran en la ventana de PowerShell. La herramienta también registra información en el archivo AzsReadinessChecker.log.

Los ejemplos siguientes ofrecen instrucciones sobre errores de validación comunes.

Contraseña temporal o expirada

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa: la cuenta no puede iniciar sesión porque la contraseña es temporal o ha expirado.

Resolución: en PowerShell, ejecute el siguiente comando y siga los avisos para restablecer la contraseña:

Login-AzureRMAccount

O bien, inicie sesión en Azure Portal como propietario de la cuenta y el usuario se verá obligado a cambiar la contraseña.

Tipo de usuario desconocido

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa: la cuenta no puede iniciar sesión en el identificador de Microsoft Entra especificado (AADDirectoryTenantName). En este ejemplo, AzureChinaCloud se especifica como valor de AzureEnvironment.

Resolución: confirme que la cuenta es válida para el entorno de Azure especificado. En PowerShell, ejecute el siguiente comando para comprobar que la cuenta es válida para un entorno concreto:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

La cuenta no es de administrador

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa: aunque la cuenta puede iniciar sesión correctamente, la cuenta no es un administrador del identificador de Microsoft Entra (AADDirectoryTenantName).

Resolución: inicie sesión en el Azure Portal como propietario de la cuenta, vaya a Microsoft Entra id. y, a continuación, usuarios y, a continuación, seleccione el usuario. A continuación, seleccione Rol de directorio y asegúrese de que el usuario es un Administrador global. Si la cuenta es un usuario, vaya a Microsoft Entra identificador>Nombres de dominio personalizados y confirme que el nombre que proporcionó para AADDirectoryTenantName está marcado como el nombre de dominio principal de este directorio. En este ejemplo, se trata de contoso.onmicrosoft.com.

Azure Stack Hub requiere que el nombre de dominio sea el nombre de dominio principal.

Pasos siguientes

Validación del registro de Azure
Vista del informe de preparación
Consideraciones generales sobre la integración de Azure Stack Hub