Configuración de los servicios multiinquilino en Azure Stack Hub

Puede configurar Azure Stack Hub para admitir inicios de sesión de usuarios que residen en otros directorios de Microsoft Entra, lo que les permite usar servicios en Azure Stack Hub. Estos directorios tienen una relación de "invitado" con el directorio de Azure Stack Hub y se consideran inquilinos Microsoft Entra invitados.

Por ejemplo, considere este escenario:

• Es el administrador de servicios de contoso.onmicrosoft.com, el inquilino principal Microsoft Entra que proporciona servicios de administración de identidades y acceso a Azure Stack Hub.
• Mary es el administrador de directorios de adatum.onmicrosoft.com, el inquilino de Microsoft Entra invitado donde se encuentran los usuarios invitados.
• La empresa de Mary (Adatum) usa los servicios de IaaS y PaaS de su empresa. Adatum quiere permitir que los usuarios del directorio invitado (adatum.onmicrosoft.com) inicien sesión y usen los recursos de Azure Stack Hub protegidos por contoso.onmicrosoft.com.

En esta guía se proporcionan los pasos necesarios, en el contexto de este escenario, para habilitar o deshabilitar el multiinquilinato en Azure Stack Hub para un inquilino de un directorio invitado. Para realizar este proceso, usted y Mary registran o anulan el registro del inquilino del directorio de los invitados, lo que habilita o deshabilita los inicios de sesión de Azure Stack Hub y el consumo de servicios por parte de los usuarios de Adatum.

Si es proveedor de soluciones en la nube (CSP), tiene otras formas de configurar y administrar una instancia multiinquilino de Azure Stack Hub.

Requisitos previos

Antes de registrar o anular el registro de un directorio de invitado, y Mary deben completar los pasos administrativos de sus respectivos inquilinos de Microsoft Entra: el directorio principal de Azure Stack Hub (Contoso) y el directorio invitado (Adatum):

• Instale y configure PowerShell para Azure Stack Hub.

• Descargue las herramientas de Azure Stack Hub e importe los módulos Connect e Identity:

  Import-Module .\Identity\AzureStack.Identity.psm1
  

Registro de un directorio invitado

Para registrar un directorio invitado para el multiinquilinato, es preciso que configure tanto el directorio principal de Azure Stack Hub como el directorio invitado.

Configuración del directorio de Azure Stack Hub

Como administrador de servicios de contoso.onmicrosoft.com, primero debe incorporar el inquilino del directorio invitado de Adatum a Azure Stack Hub. El siguiente script configura Azure Resource Manager para aceptar inicios de sesión de usuarios y entidades de servicio del inquilino de adatum.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Configurar el directorio de invitados

A continuación, Mary (administradora de directorios de Adatum) debe registrar Azure Stack Hub en el directorio invitado adatum.onmicrosoft.com. Para ello, ejecuta el siguiente script:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Importante

Si el administrador de Azure Stack Hub instala nuevos servicios o actualizaciones en el futuro, puede que tenga que volver a ejecutar este script.

Ejecute este script de nuevo en cualquier momento para comprobar el estado de las aplicaciones de Azure Stack Hub en su directorio.

Si ha detectado problemas al crear máquinas virtuales en Managed Disks (característica incorporada en la actualización 1808), es que se ha agregado un nuevo proveedor de recursos de disco que exige que se vuelva a ejecutar este script.

Instruir a los usuarios para iniciar sesión

Por último, Mary puede dirigir a los usuarios de Adatum que tienen cuentas @adatum.onmicrosoft.com para que inicien sesión visitando el portal de usuarios de Azure Stack Hub. En los sistemas multinodo, la dirección URL del portal de usuarios tiene el formato https://portal.<region>.<FQDN>. En el caso de una implementación de ASDK, la dirección URL es https://portal.local.azurestack.external.

Mary también debe dirigir a las entidades de seguridad externas (los usuarios del directorio de Adatum sin el sufijo adatum.onmicrosoft.com) para que inicien sesión mediante https://<user-portal-url>/adatum.onmicrosoft.com. Si no especifican el inquilino del directorio /adatum.onmicrosoft.com en la dirección URL, se les envía al directorio predeterminado y reciben un error que indica que el administrador no ha dado su consentimiento.

Anulación del registro de un directorio invitado

Si ya no desea permitir inicios de sesión en los servicios de Azure Stack Hub desde un inquilino del directorio invitado, puede anular el registro del directorio. De nuevo, se deben configurar tanto el directorio principal de Azure Stack Hub como el directorio invitado:

1. Como administrador del directorio invitado (Mary en este escenario), ejecute Unregister-AzsWithMyDirectoryTenant. El cmdlet desinstala todas las aplicaciones de Azure Stack Hub del nuevo directorio.

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
   $tenantARMEndpoint = "https://management.local.azurestack.external"
   
   ## Replace the value below with the guest directory tenant.
   $guestDirectoryTenantName = "adatum.onmicrosoft.com"
   
   Unregister-AzsWithMyDirectoryTenant `
    -TenantResourceManagerEndpoint $tenantARMEndpoint `
    -DirectoryTenantName $guestDirectoryTenantName `
    -Verbose 
   

2. Como administrador de servicios de Azure Stack Hub (usted en este escenario), ejecute el cmdlet Unregister-AzSGuestDirectoryTenant:

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
   $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
   
   ## Replace the value below with the Azure Stack Hub directory
   $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
   
   ## Replace the value below with the guest directory tenant. 
   $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
   
   ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
   $ResourceGroupName = "system.local"
   
   Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
    -DirectoryTenantName $azureStackDirectoryTenant `
    -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
    -ResourceGroupName $ResourceGroupName
   

   Advertencia

   Los pasos necesarios para deshabilitar el servicio multiinquilino deben realizarse en orden. Si el paso 2 se realiza primero, el paso 1 generará errores.

Recuperación del informe de estado de identidades de Azure Stack Hub

Reemplace los marcadores de posición <region>, <domain> y <homeDirectoryTenant> y, a continuación, ejecute el siguiente cmdlet como administrador de Azure Stack Hub.

$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Actualización de los permisos de inquilino de Microsoft Entra

Esta acción desactiva una alerta en Azure Stack Hub, lo que indica que un directorio requiere una actualización. Ejecute el siguiente comando desde la carpeta Azurestack-tools-master/identity:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

El script le pide credenciales administrativas en el inquilino de Microsoft Entra y tarda varios minutos en ejecutarse. La alerta se desactiva después de ejecutar el cmdlet.

Registro de un directorio invitado

Para registrar un directorio invitado para el multiinquilinato, es preciso que configure tanto el directorio principal de Azure Stack Hub como el directorio invitado.

Configuración del directorio de Azure Stack Hub

El primer paso es hacer que el sistema Azure Stack Hub conozca el directorio de invitados. En este ejemplo, el directorio de la empresa de Mary, Adatum, se denomina adatum.onmicrosoft.com.

1. Inicie sesión en el portal de administrador de Azure Stack Hub y vaya a Todos los servicios - Directorios.

   

2. Seleccione Agregar para iniciar el proceso de incorporación. Escriba el nombre del directorio de invitado "adatum.onmicrosoft.com" y, después, seleccione Agregar.

   

3. El directorio de invitado aparece en la vista de lista, con el estado no registrado.

   

4. Solo Mary tiene las credenciales necesarias para autenticarse en el directorio de invitados, por lo que debe enviarle el vínculo para completar el registro. Active la casilla adatum.onmicrosoft.com y seleccione Registrar.

   

5. Se abre una nueva pestaña del explorador. Seleccione Copiar vínculo en la parte inferior de la página y envíeselo a Mary.

6. Si tiene las credenciales del directorio de invitado, puede completar solo el registro seleccionando Iniciar sesión.

   

Configurar el directorio de invitados

Mary recibió el correo electrónico con el vínculo para registrar el directorio. Abre el vínculo en un explorador y confirma el identificador de Microsoft Entra y el punto de conexión de Azure Resource Manager del sistema de Azure Stack Hub.

1. Mary usa sus credenciales de administrador global para adatum.onmicrosoft.com para iniciar sesión.

   Nota

   Asegúrese de que los bloqueadores de elementos emergentes están deshabilitados antes de iniciar sesión.

   

2. Mary revisa el estado del directorio y ve que no está registrado.

   

3. Mary selecciona Registrar para iniciar el proceso.

   Nota

   Es posible que los objetos requeridos para Visual Studio Code no se puedan crear y que se deba usar PowerShell.

   

4. Después de finalizar el proceso de registro, Mary puede examinar todas las aplicaciones que se crearon en el directorio y comprobar su estado.

   

5. Mary ha completado correctamente el proceso de registro y ahora puede dirigir a los usuarios de Adatum con cuentas @adatum.onmicrosoft.com para que inicien sesión visitando el portal de usuario de Azure Stack Hub. En los sistemas multinodo, la dirección URL del portal de usuarios tiene el formato https://portal.<region>.<FQDN>. En el caso de una implementación de ASDK, la dirección URL es https://portal.local.azurestack.external.

Importante

El operador de Azure Stack puede tardar hasta una hora en ver el estado del directorio actualizado en el portal de administración.

Mary también debe dirigir a las entidades de seguridad externas (los usuarios del directorio de Adatum sin el sufijo adatum.onmicrosoft.com) para que inicien sesión mediante https://<user-portal-url>/adatum.onmicrosoft.com. Si no especifican el inquilino del directorio /adatum.onmicrosoft.com en la dirección URL, se les envía al directorio predeterminado y reciben un error que indica que el administrador no ha dado su consentimiento.

Anulación del registro de un directorio invitado

Si ya no desea permitir inicios de sesión en los servicios de Azure Stack Hub desde un inquilino del directorio invitado, puede anular el registro del directorio. De nuevo, se deben configurar tanto el directorio principal de Azure Stack Hub como el directorio invitado:

Configurar el directorio de invitados

Mary ya no usa servicios en Azure Stack Hub y debe quitar los objetos. Vuelve a abrir la dirección URL que recibió por correo electrónico para anular el registro del directorio. Antes de iniciar este proceso, Mary quita todos los recursos de la suscripción de Azure Stack Hub.

1. Mary usa sus credenciales de administrador global para adatum.onmicrosoft.com para iniciar sesión.

   Nota

   Asegúrese de que los bloqueadores de elementos emergentes están deshabilitados antes de iniciar sesión.

   

2. Mary ve el estado del directorio.

   

3. Mary selecciona Anular registro para iniciar la acción.

   

4. Cuando el proceso ha finalizado, el estado se muestra como No registrado:

   

   Mary ha anulado correctamente el registro del directorio adatum.onmicrosoft.com.

   Nota

   El directorio puede tardar hasta una hora en mostrarse como no registrado en el portal de administrador de Azure Stack.

Configuración del directorio de Azure Stack Hub

Los operadores de Azure Stack Hub pueden quitar el directorio de invitado en cualquier momento, aunque Mary no haya anulado previamente el registro del directorio.

1. Inicie sesión en el portal de administrador de Azure Stack Hub y vaya a Todos los servicios - Directorios.

   

2. Active la casilla del directorio adatum.onmicrosoft.com y, después, seleccione Quitar.

   

3. Para confirmar la acción de eliminación, escriba Sí y seleccione Quitar.

   

   Ha quitado el directorio correctamente.

Administración de las actualizaciones necesarias

Las actualizaciones de Azure Stack Hub pueden introducir compatibilidad con nuevas herramientas o servicios que podrían requerir una actualización del directorio principal o de invitado.

Los operadores de Azure Stack Hub reciben una alerta en el portal de administración que les informa sobre una actualización necesaria del directorio. También puede determinar si se requiere una actualización de los directorios principal o de invitado. Para ello, es preciso visualizar el panel de directorios del portal de administrador. Cada lista de directorios muestra el tipo de directorio. El tipo puede ser un directorio principal o de invitado y se muestra su estado.

Actualización de los directorios de Azure Stack Hub

Cuando se requiere la actualización de cualquier directorio de Azure Stack Hub, se muestra el estado Update Required (Actualización necesaria). Por ejemplo:

Para actualizar el directorio, active la casilla Nombre del directorio y, después, seleccione Actualizar.

Actualización del directorio de invitado

Los operadores de Azure Stack Hub también deben informar al propietario del directorio de invitado de que necesita actualizar su directorio mediante la dirección URL compartida para el registro. El operador puede volver a enviar la dirección URL, pero no cambia.

Mary, propietaria del directorio de invitados, abre la dirección URL que recibió por correo electrónico cuando registró el directorio:

1. Mary usa sus credenciales de administrador global para adatum.onmicrosoft.com para iniciar sesión. Asegúrese de que los bloqueadores de elementos emergentes están deshabilitados antes de iniciar sesión.

   

2. Mary ve el estado del directorio, que dice que se requiere una actualización.

3. La acción Actualizar está disponible para que Mary actualice el directorio de invitado. El directorio puede tardar hasta una hora en mostrarse como registrado en el portal de administrador de Azure Stack.

Funcionalidades adicionales

Los operadores de Azure Stack Hub pueden ver las suscripciones asociadas con un directorio. Además, cada directorio tiene una acción para administrar el directorio directamente en Azure Portal. Para administrarlo, el directorio de destino debe tener permisos de administración en Azure Portal.

Pasos siguientes

• Administrar proveedores delegados
• Conceptos clave de Azure Stack Hub
• Administración del uso y la facturación de Azure Stack Hub como proveedor de soluciones en la nube
• Adición de inquilinos a Azure Stack Hub para uso y facturación