Valider l’identité Azure
Utilisez l’outil Azure Stack Hub Readiness Checker (AzsReadinessChecker) pour vérifier que votre instance Microsoft Entra ID peut être utilisée avec Azure Stack Hub. Validez votre solution d’identité Azure avant de commencer un déploiement Azure Stack Hub.
L’outil Readiness Checker valide ce qui suit :
- Microsoft Entra ID en tant que fournisseur d’identité pour Azure Stack Hub.
- Le compte Microsoft Entra que vous envisagez d’utiliser peut se connecter en tant qu’administrateur d’application de votre ID Microsoft Entra.
La validation garantit que votre environnement est prêt pour qu’Azure Stack Hub stocke des informations sur les utilisateurs, les applications, les groupes et les principaux de service d’Azure Stack Hub dans votre instance Microsoft Entra ID.
Téléchargez la dernière version de l’outil Azure Stack Hub Readiness Checker (AzsReadinessChecker) à partir de PowerShell Gallery.
Les prérequis suivants sont obligatoires :
Les modules Az PowerShell doivent être installés. Pour obtenir des instructions, consultez Installer le module en préversion Az PowerShell.
- Identifiez le compte Microsoft Entra à utiliser pour Azure Stack Hub et assurez-vous qu’il s’agit d’un administrateur d’application Microsoft Entra.
- Identifiez le nom de votre locataire Microsoft Entra. Le nom du locataire doit être celui du domaine principal de votre instance Microsoft Entra ID. Par exemple, contoso.onmicrosoft.com.
Sur un ordinateur qui répond aux prérequis, ouvrez une invite de commande PowerShell avec privilège élevé, puis exécutez la commande suivante pour installer AzsReadinessChecker :
Install-Module -Name Az.BootStrapper -Force -AllowPrerelease Install-AzProfile -Profile 2020-09-01-hybrid -Force Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
À partir de l’invite PowerShell, exécutez la commande suivante. Remplacez
contoso.onmicrosoft.com
par le nom de votre locataire Microsoft Entra :Connect-AzAccount -tenant contoso.onmicrosoft.com
Depuis l’invite PowerShell, exécutez la commande suivante pour démarrer la validation de votre instance Microsoft Entra ID. Remplacez
contoso.onmicrosoft.com
par le nom de votre locataire Microsoft Entra :Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com
Au terme de l’exécution de l’outil, passez en revue la sortie. Vérifiez que l’état est OK pour les conditions d’installation. Une validation réussie génère une image semblable à la suivante :
Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started. Starting Azure Identity Validation Checking Installation Requirements: OK Finished Azure Identity Validation Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json Invoke-AzsAzureIdentityValidation Completed
Chaque fois qu’une validation s’exécute, les résultats sont journalisés dans AzsReadinessChecker.log et AzsReadinessCheckerReport.json. L’emplacement de ces fichiers est indiqué avec les résultats de la validation dans PowerShell.
Ces fichiers peuvent vous aider à partager l’état de validation avant de déployer Azure Stack Hub ou à examiner les problèmes de validation. Les deux fichiers conservent les résultats des vérifications de validation postérieures. Le rapport fournit à votre équipe de déploiement la confirmation de la configuration de l’identité. Le fichier journal peut aider l’équipe de déploiement ou de support à enquêter sur les problèmes de validation.
Par défaut, les deux fichiers sont écrits dans C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
.
- Utilisez le paramètre
-OutputPath <path>
situé à la fin de la ligne de commande d’exécution pour spécifier un emplacement de rapport différent. - Utilisez le paramètre
-CleanReport
à la fin de la ligne de commande d’exécution pour effacer les informations sur les exécutions précédentes de l’outil du fichier AzsReadinessCheckerReport.json.
Pour plus d’informations, consultez Rapport de validation Azure Stack Hub.
En cas d’échec de vérification de la validation, des détails sont fournis dans la fenêtre PowerShell. L’outil journalise également des informations dans le fichier AzsReadinessChecker.log.
Les exemples suivants donnent des conseils sur la façon de résoudre les échecs de validation courants.
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Cause : Le compte ne peut pas se connecter parce que le mot de passe est temporaire ou a expiré.
Résolution : Dans PowerShell, exécutez la commande suivante, puis suivez les invites pour réinitialiser le mot de passe :
Login-AzureRMAccount
Vous pouvez également vous connecter au portail Azure en tant que propriétaire du compte. Ainsi, l’utilisateur sera obligé de changer de mot de passe.
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Cause : le compte ne peut pas se connecter à l’ID Microsoft Entra spécifié (AADDirectoryTenantName). Dans cet exemple, AzureChinaCloud est spécifié comme AzureEnvironment.
Résolution : Vérifiez que le compte est valide pour l’environnement Azure spécifié. Dans PowerShell, exécutez la commande suivante pour vérifier que le compte est valide pour un environnement spécifique :
Login-AzureRmAccount -EnvironmentName AzureChinaCloud
Valider l’inscription auprès d’Azure
Afficher le rapport de préparation
Considérations générales relatives à l’intégration d’Azure Stack Hub