Valider l’identité Azure

Utilisez l’outil Azure Stack Hub Readiness Checker (AzsReadinessChecker) pour vérifier que votre ID de Microsoft Entra est prêt à être utilisé avec Azure Stack Hub. Validez votre solution d’identité Azure avant de commencer un déploiement Azure Stack Hub.

L’outil Readiness Checker valide ce qui suit :

• Microsoft Entra ID en tant que fournisseur d’identité pour Azure Stack Hub.
• Le compte Microsoft Entra que vous envisagez d’utiliser peut se connecter en tant qu’administrateur général de votre ID de Microsoft Entra.

La validation garantit que votre environnement est prêt pour qu’Azure Stack Hub stocke des informations sur les utilisateurs, les applications, les groupes et les principaux de service à partir d’Azure Stack Hub dans votre ID de Microsoft Entra.

Obtenir l’outil Readiness Checker

Téléchargez la dernière version de l’outil Azure Stack Hub Readiness Checker (AzsReadinessChecker) à partir de PowerShell Gallery.

Installation et configuration

Az PowerShell

Prérequis

Les prérequis suivants sont obligatoires :

Modules Az PowerShell

Les modules Az PowerShell doivent être installés. Pour obtenir des instructions, consultez Installer le module en préversion Az PowerShell.

Environnement Microsoft Entra

• Identifiez le compte Microsoft Entra à utiliser pour Azure Stack Hub et assurez-vous qu’il s’agit d’un administrateur général Microsoft Entra.
• Identifiez le nom de votre locataire Microsoft Entra. Le nom de locataire doit être le nom de domaine principal de votre ID de Microsoft Entra. Par exemple, contoso.onmicrosoft.com.

Étapes de validation de l’identité Azure

1. Sur un ordinateur qui répond aux prérequis, ouvrez une invite de commande PowerShell avec privilège élevé, puis exécutez la commande suivante pour installer AzsReadinessChecker :

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. À partir de l’invite PowerShell, exécutez la commande suivante. Remplacez par contoso.onmicrosoft.com le nom de votre locataire Microsoft Entra :

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. À partir de l’invite PowerShell, exécutez la commande suivante pour démarrer la validation de votre ID Microsoft Entra. Remplacez par contoso.onmicrosoft.com le nom de votre locataire Microsoft Entra :

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Au terme de l’exécution de l’outil, passez en revue la sortie. Vérifiez que l’état est OK pour les conditions d’installation. Une validation réussie génère une image semblable à la suivante :

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Prérequis

Les prérequis suivants sont obligatoires :

Modules AzureRM PowerShell

Les modules Az PowerShell doivent être installés. Pour obtenir des instructions, consultez Installer le module AzureRM PowerShell.

Ordinateur sur lequel l’outil est exécuté

• Windows 10 ou Windows Server 2016, avec connectivité à Internet.
• PowerShell 5.1 ou ultérieur. Pour vérifier votre version, exécutez la commande PowerShell suivante et examinez la version principale et les versions mineures :

  $PSVersionTable.PSVersion
  

• PowerShell configuré pour Azure Stack Hub.
• Dernière version de l’outil Microsoft Azure Stack Hub Readiness Checker.

Environnement Microsoft Entra

• Identifiez le compte Microsoft Entra à utiliser pour Azure Stack Hub et assurez-vous qu’il s’agit d’un administrateur général Microsoft Entra.
• Identifiez le nom de votre locataire Microsoft Entra. Le nom de locataire doit être le nom de domaine principal de votre ID de Microsoft Entra. Par exemple, contoso.onmicrosoft.com.
• Identifiez l’environnement Azure que vous allez utiliser. Les valeurs prises en charge pour le paramètre du nom d’environnement sont AzureCloud, AzureChinaCloud ou AzureUSGovernment selon l’abonnement Azure que vous utilisez.

Étapes de validation de l’identité Azure

1. Sur un ordinateur qui répond aux prérequis, ouvrez une invite de commande PowerShell avec privilège élevé, puis exécutez la commande suivante pour installer AzsReadinessChecker :

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. À partir de l’invite PowerShell, exécutez la commande suivante pour définir $serviceAdminCredential comme administrateur de service pour votre locataire Microsoft Entra. Remplacez serviceadmin\@contoso.onmicrosoft.com par votre compte et le nom de votre locataire :

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. À partir de l’invite PowerShell, exécutez la commande suivante pour démarrer la validation de votre ID Microsoft Entra :

   • Spécifiez la valeur du nom d’environnement pour AzureEnvironment. Les valeurs prises en charge pour le paramètre du nom d’environnement sont AzureCloud, AzureChinaCloud ou AzureUSGovernment selon l’abonnement Azure que vous utilisez.
   • Remplacez par contoso.onmicrosoft.com le nom de votre locataire Microsoft Entra.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Au terme de l’exécution de l’outil, passez en revue la sortie. Vérifiez que l’état est OK pour les conditions d’installation. Une validation réussie génère une image semblable à la suivante :

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Rapport et fichier journal

Chaque fois qu’une validation s’exécute, les résultats sont journalisés dans AzsReadinessChecker.log et AzsReadinessCheckerReport.json. L’emplacement de ces fichiers est indiqué avec les résultats de la validation dans PowerShell.

Ces fichiers peuvent vous aider à partager l’état de validation avant de déployer Azure Stack Hub ou à examiner les problèmes de validation. Les deux fichiers conservent les résultats des vérifications de validation postérieures. Le rapport fournit à votre équipe de déploiement la confirmation de la configuration de l’identité. Le fichier journal peut aider l’équipe de déploiement ou de support à enquêter sur les problèmes de validation.

Par défaut, les deux fichiers sont écrits dans C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

• Utilisez le paramètre -OutputPath <path> situé à la fin de la ligne de commande d’exécution pour spécifier un emplacement de rapport différent.
• Utilisez le paramètre -CleanReport à la fin de la ligne de commande d’exécution pour effacer les informations sur les exécutions précédentes de l’outil du fichier AzsReadinessCheckerReport.json.

Pour plus d’informations, voir Rapport de validation Azure Stack Hub.

Échec de validation

En cas d’échec de vérification de la validation, des détails sont fournis dans la fenêtre PowerShell. L’outil journalise également des informations dans le fichier AzsReadinessChecker.log.

Les exemples suivants donnent des conseils sur la façon de résoudre les échecs de validation courants.

Mot de passe temporaire ou ayant expiré

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Cause : Le compte ne peut pas se connecter parce que le mot de passe est temporaire ou a expiré.

Résolution : Dans PowerShell, exécutez la commande suivante, puis suivez les invites pour réinitialiser le mot de passe :

Login-AzureRMAccount

Vous pouvez également vous connecter au portail Azure en tant que propriétaire du compte. Ainsi, l’utilisateur sera obligé de changer de mot de passe.

Type d’utilisateur inconnu

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Cause : le compte ne peut pas se connecter à l’ID de Microsoft Entra spécifié (AADDirectoryTenantName). Dans cet exemple, AzureChinaCloud est spécifié comme AzureEnvironment.

Résolution : Vérifiez que le compte est valide pour l’environnement Azure spécifié. Dans PowerShell, exécutez la commande suivante pour vérifier que le compte est valide pour un environnement spécifique :

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Le compte n’est pas un administrateur

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Cause : bien que le compte puisse se connecter correctement, il n’est pas administrateur de l’ID de Microsoft Entra (AADDirectoryTenantName).

Résolution : connectez-vous au Portail Azure en tant que propriétaire du compte, accédez à Microsoft Entra ID, puis Utilisateurs, puis sélectionnez l’utilisateur. Ensuite, sélectionnez Rôle d’annuaire,puis vérifiez que l’utilisateur est un Administrateur général. Si le compte est un utilisateur, accédez à Microsoft Entra ID>Noms de domaine personnalisés et vérifiez que le nom que vous avez fourni pour AADDirectoryTenantName est marqué comme nom de domaine principal pour ce répertoire. Dans cet exemple, il s’agit de contoso.onmicrosoft.com.

Azure Stack Hub exige que le nom de domaine corresponde au nom de domaine principal.

Étapes suivantes

Valider l’inscription auprès d’Azure
Afficher le rapport de préparation
Considérations générales relatives à l’intégration d’Azure Stack Hub