Configurer une architecture multilocataire dans Azure Stack Hub
Vous pouvez configurer Azure Stack Hub pour prendre en charge les connexions d’utilisateurs résidant dans d’autres répertoires Microsoft Entra, ce qui leur permet d’utiliser des services dans Azure Stack Hub. Ces répertoires ont une relation « invité » avec votre annuaire Azure Stack Hub et sont considérés comme des locataires invités Microsoft Entra.
Considérons par exemple ce scénario :
- Vous êtes l’administrateur de service de contoso.onmicrosoft.com, le locataire d’accueil Microsoft Entra qui fournit des services de gestion des identités et des accès à Azure Stack Hub.
- Mary est l’administrateur d’annuaire de adatum.onmicrosoft.com, le locataire invité Microsoft Entra où se trouvent les utilisateurs invités.
- La société de Marie (Adatum) utilise les services IaaS et PaaS de votre entreprise. Adatum souhaite autoriser les utilisateurs de l’annuaire invité (adatum.onmicrosoft.com) à se connecter et à utiliser les ressources Azure Stack Hub sécurisées par contoso.onmicrosoft.com.
Ce guide décrit les étapes requises dans le cadre de ce scénario afin d’activer ou de désactiver l’architecture mutualisation dans Azure Stack Hub pour un locataire d’annuaire invité. Marie et vous accomplissez ce processus en inscrivant ou désinscrivant le locataire d’annuaire invité, ce qui a pour effet d’activer ou de désactiver les connexions Azure Stack Hub et la consommation du service par les utilisateurs d’Adatum.
Si vous êtes un fournisseur de solutions cloud (CSP), d’autres méthodes s’offrent à vous pour configurer et gérer une architecture multitenant dans Azure Stack Hub.
Prérequis
Avant d’inscrire ou de annuler l’inscription d’un répertoire invité, vous et Mary devez effectuer des étapes administratives pour vos locataires Microsoft Entra respectifs : le répertoire de base Azure Stack Hub (Contoso) et le répertoire invité (Adatum) :
Installez et configurez PowerShell pour Azure Stack Hub.
Téléchargez les outils Azure Stack Hub Tools, puis importez les modules de connexion et d’identité :
Import-Module .\Identity\AzureStack.Identity.psm1
Inscrire un annuaire invité
Pour inscrire un annuaire invité afin de créer une architecture multilocataire, vous devez configurer l’annuaire Azure Stack Hub de base et l’annuaire invité.
Configurer l’annuaire Azure Stack Hub
En tant qu’administrateur de service de contoso.onmicrosoft.com, vous devez commencer par intégrer le locataire d’annuaire invité d’Adatum à Azure Stack Hub. Le script suivant configure Azure Resource Manager pour accepter les connexions d’utilisateurs et de principaux de service dans le locataire adatum.onmicrosoft.com :
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"
## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"
## Replace the value below with the region location of the resource group.
$location = "local"
# Subscription Name
$SubscriptionName = "Default Provider Subscription"
Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
-DirectoryTenantName $azureStackDirectoryTenant `
-GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
-Location $location `
-ResourceGroupName $ResourceGroupName `
-SubscriptionName $SubscriptionName
Configurer l’annuaire invité
Ensuite, Marie (l’administratrice d’annuaire d’Adatum) doit inscrire Azure Stack Hub auprès de l’annuaire invité adatum.onmicrosoft.com en exécutant le script suivant :
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"
Register-AzSWithMyDirectoryTenant `
-TenantResourceManagerEndpoint $tenantARMEndpoint `
-DirectoryTenantName $guestDirectoryTenantName `
-Verbose
Important
Si votre administrateur Azure Stack Hub installe des mises à jour ou de nouveaux services à l’avenir, vous devrez peut-être réexécuter ce script.
Faites-le à tout moment pour vérifier l’état des applications Azure Stack Hub dans votre annuaire.
Si vous rencontrez des problèmes lors de la création de machines virtuelles dans la fonctionnalité Disques managés (une nouvelle fonctionnalité disponible dans la mise à jour 1808), sachez qu’un nouveau fournisseur de ressources de disque a été ajouté, ce qui nécessite la réexécution de ce script.
Inviter les utilisateurs à se connecter
Enfin, Mary peut inviter les utilisateurs Adatum disposant de comptes @adatum.onmicrosoft.com à se connecter en visitant le portail utilisateur Azure Stack Hub. Pour les systèmes à plusieurs nœuds, l’URL du portail utilisateur est au format https://portal.<region>.<FQDN>
. Pour un déploiement d’ASDK, l’URL est https://portal.local.azurestack.external
.
Marie doit également inviter les principaux étrangers (utilisateurs dans l’annuaire d’Adatum sans le suffixe adatum.onmicrosoft.com) à se connecter à l’aide de https://<user-portal-url>/adatum.onmicrosoft.com
. S’ils ne spécifient pas l’annuaire de locataire /adatum.onmicrosoft.com
dans l’URL, ils sont dirigés vers l’annuaire par défaut et reçoivent une erreur indiquant que leur administrateur n’a pas donné son consentement.
Désinscrire un annuaire invité
Si vous ne souhaitez plus autoriser les connexions aux services Azure Stack Hub à partir d’un locataire d’annuaire invité, vous pouvez désinscrire l’annuaire. Une fois encore, vous devez configurer l’annuaire Azure Stack Hub de base et l’annuaire invité :
En tant qu’administrateur de l’annuaire invité (Mary dans ce scénario), exécutez
Unregister-AzsWithMyDirectoryTenant
. L’applet de commande désinstalle toutes les applications Azure Stack Hub du nouvel annuaire.## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>. $tenantARMEndpoint = "https://management.local.azurestack.external" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantName = "adatum.onmicrosoft.com" Unregister-AzsWithMyDirectoryTenant ` -TenantResourceManagerEndpoint $tenantARMEndpoint ` -DirectoryTenantName $guestDirectoryTenantName ` -Verbose
En tant qu’administrateur de service d’Azure Stack Hub (vous dans ce scénario), exécutez la cmdlet
Unregister-AzSGuestDirectoryTenant
:## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>. $adminARMEndpoint = "https://adminmanagement.local.azurestack.external" ## Replace the value below with the Azure Stack Hub directory $azureStackDirectoryTenant = "contoso.onmicrosoft.com" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com" ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist). $ResourceGroupName = "system.local" Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint ` -DirectoryTenantName $azureStackDirectoryTenant ` -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned ` -ResourceGroupName $ResourceGroupName
Avertissement
Les étapes de désactivation d’une architecture multilocataire doivent être effectuées dans l’ordre. L’étape 1 échoue si l’étape 2 est terminée en premier.
Récupérer le rapport d’intégrité des identités Azure Stack Hub
Remplacez les espaces réservés <region>
, <domain>
et <homeDirectoryTenant>
, puis exécutez la cmdlet suivante en tant qu’administrateur Azure Stack Hub.
$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft
Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft
Mettre à jour les autorisations de locataire Microsoft Entra
Cette action désactive une alerte dans Azure Stack Hub, indiquant qu’un annuaire a besoin d’une mise à jour. Exécutez la commande suivante à partir du dossier Azurestack-tools-master/identity :
Import-Module ..\Identity\AzureStack.Identity.psm1
$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"
Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
-DirectoryTenantName $homeDirectoryTenantName -Verbose
Le script vous invite à entrer des informations d’identification d’administration sur le locataire Microsoft Entra et son exécution prend plusieurs minutes. L’alerte est désactivée après l’exécution de la cmdlet.
La gestion basée sur le portail n’est pas prise en charge pour cette version
La gestion de l’architecture multilocataire à l’aide du portail administrateur est uniquement disponible pour les versions 2102 et ultérieures. Sélectionnez une version ultérieure à l’aide du sélecteur dans la partie supérieure gauche de la page.
Inscrire un annuaire invité
Pour inscrire un annuaire invité afin de créer une architecture multilocataire, vous devez configurer l’annuaire Azure Stack Hub de base et l’annuaire invité.
Configurer l’annuaire Azure Stack Hub
La première étape consiste à faire en sorte que votre système Azure Stack Hub détecte l’annuaire invité. Dans cet exemple, l’annuaire de l’entreprise de Marie, Adatum, est appelé adatum.onmicrosoft.com.
Connectez-vous au portail d’administration Azure Stack Hub et accédez à Tous les services – Annuaires.
Sélectionnez Ajouter pour commencer le processus d’intégration. Entrez le nom de l’annuaire invité « adatum.onmicrosoft.com », puis sélectionnez Ajouter.
L’annuaire invité apparaît dans la liste, avec l’état unregistered (non inscrit).
Seule Marie dispose des informations d’identification pour s’authentifier auprès de l’annuaire invité. Vous devez donc lui envoyer le lien pour terminer l’inscription. Activez la case à cocher en regard de adatum.onmicrosoft.com, puis sélectionnez Register (Inscrire).
Un nouvel onglet de navigateur s'ouvre. En bas de la page, sélectionnez Copy link (Copier le lien), puis fournissez-le à Marie.
Si vous disposez des informations d’identification de l’annuaire invité, vous pouvez effectuer vous-même l’inscription en sélectionnant Sign in (Se connecter).
Configurer l’annuaire invité
Marie a reçu l’e-mail contenant le lien pour inscrire l’annuaire. Elle ouvre le lien dans un navigateur et confirme l’ID de Microsoft Entra et le point de terminaison Azure Resource Manager de votre système Azure Stack Hub.
Marie se connecte à l’aide de ses informations d’identification d’administrateur général pour adatum.onmicrosoft.com.
Remarque
Avant de vous connecter, vérifiez que vos bloqueurs de fenêtres publicitaires sont désactivés.
Marie examine l’état de l’annuaire et constate qu’il n’est pas inscrit.
Marie sélectionne Register (Inscrire) pour démarrer le processus.
Remarque
Il est possible que vous ne puissiez pas créer les objets requis pour Visual Studio Code et que vous deviez utiliser PowerShell.
Une fois le processus d’inscription terminé, Marie peut passer en revue toutes les applications qui ont été créées dans l’annuaire et vérifier leur état.
Marie a terminé le processus d’inscription, qui a réussi. Elle peut à présent inviter les utilisateurs d’Adatum dotés de comptes @adatum.onmicrosoft.com à se connecter en passant par le portail utilisateur Azure Stack Hub. Pour les systèmes à plusieurs nœuds, l’URL du portail utilisateur est au format
https://portal.<region>.<FQDN>
. Pour un déploiement d’ASDK, l’URL esthttps://portal.local.azurestack.external
.
Important
La mise à jour de l’état de l’annuaire dans le portail d’administration peut prendre jusqu’à une heure. Passé ce délai, l’opérateur Azure Stack devrait pouvoir la constater.
Marie doit également inviter les principaux étrangers (utilisateurs dans l’annuaire d’Adatum sans le suffixe adatum.onmicrosoft.com) à se connecter à l’aide de https://<user-portal-url>/adatum.onmicrosoft.com
. S’ils ne spécifient pas l’annuaire de locataire /adatum.onmicrosoft.com
dans l’URL, ils sont dirigés vers l’annuaire par défaut et reçoivent une erreur indiquant que leur administrateur n’a pas donné son consentement.
Désinscrire un annuaire invité
Si vous ne souhaitez plus autoriser les connexions aux services Azure Stack Hub à partir d’un locataire d’annuaire invité, vous pouvez désinscrire l’annuaire. Une fois encore, vous devez configurer l’annuaire Azure Stack Hub de base et l’annuaire invité :
Configurer l’annuaire invité
Marie n’utilise plus certains services sur Azure Stack Hub et doit supprimer les objets associés. Elle ouvre à nouveau l’URL reçue par e-mail pour annuler l’inscription de l’annuaire. Avant de commencer ce processus, Marie supprime toutes les ressources de l’abonnement Azure Stack Hub.
Marie se connecte à l’aide de ses informations d’identification d’administrateur général pour adatum.onmicrosoft.com.
Remarque
Avant de vous connecter, vérifiez que vos bloqueurs de fenêtres publicitaires sont désactivés.
Marie voit l’état de l’annuaire.
Marie sélectionne Unregister (Désinscrire) pour démarrer l’action.
Une fois le processus terminé, l’état indiqué est Not registered (Non inscrit) :
Marie a correctement annulé l’inscription de l’annuaire adatum.onmicrosoft.com.
Remarque
L’actualisation de l’état de l’annuaire dans le portail d’administration Azure Stack peut prendre jusqu’à une heure.
Configurer l’annuaire Azure Stack Hub
En tant qu’opérateur Azure Stack Hub, vous pouvez supprimer l’annuaire invité à tout moment, même si Marie n’a pas déjà annulé l’inscription de l’annuaire.
Connectez-vous au portail d’administration Azure Stack Hub et accédez à Tous les services – Annuaires.
Activez la case à cocher en regard de adatum.onmicrosoft.com, puis sélectionnez Remove (Supprimer).
Confirmez l’action de suppression en tapant yes (ou « oui » si vous utilisez une interface en français), puis sélectionnez Remove (Supprimer).
Vous avez correctement supprimé l’annuaire.
Gestion des mises à jour requises
Les mises à jour Azure Stack Hub peuvent introduire la prise en charge de nouveaux outils ou services qui peuvent nécessiter une mise à jour de l’annuaire de base ou de l’annuaire invité.
En tant qu’opérateur Azure Stack Hub, vous recevez une alerte dans le portail d’administration qui vous informe qu’une mise à jour d’annuaire est requise. Vous pouvez également déterminer si une mise à jour est requise pour les annuaires de base ou invités en consultant le volet Annuaires du portail d’administration. Chaque liste d’annuaires affiche le type de chaque annuaire. Ces types peuvent être « Home » (« De base ») ou « Guest » (« Invité »).
Mettre à jour les annuaires Azure Stack Hub
Lorsqu’une mise à jour d’annuaire Azure Stack Hub est requise, l’état Update Required (Mise à jour requise) est indiqué. Par exemple :
Pour mettre à jour l’annuaire, activez la case à cocher en regard de Directory name (Nom de l’annuaire), puis sélectionnez Update (Mettre à jour).
Mettre à jour l’annuaire invité
En tant qu’opérateur Azure Stack Hub, vous devez aussi informer le propriétaire de l’annuaire invité qu’il doit mettre à jour son annuaire à l’aide de l’URL partagée pour l’inscription. L’opérateur peut renvoyer l’URL, mais elle ne change pas.
Marie, la propriétaire de l’annuaire invité, ouvre l’URL qu’elle a reçue par e-mail lorsqu’elle a inscrit l’annuaire :
Marie se connecte à l’aide de ses informations d’identification d’administrateur général pour adatum.onmicrosoft.com. Avant de vous connecter, vérifiez que vos bloqueurs de fenêtres publicitaires sont désactivés.
Marie voit l’état de l’annuaire indiquant qu’une mise à jour est requise.
L’action Update (Mettre à jour) est disponible pour Marie. Elle peut la sélectionner pour mettre à jour l’annuaire invité. L’actualisation de l’état de l’annuaire dans le portail d’administration Azure Stack peut prendre jusqu’à une heure.
Fonctionnalités supplémentaires
Un opérateur Azure Stack Hub peut afficher les abonnements associés à un annuaire. En outre, une action permettant de gérer chaque annuaire directement dans le portail Azure est disponible. Pour effectuer une telle gestion, l’annuaire cible doit disposer d’autorisations de gestion dans le portail Azure.