Bagikan melalui

Memvalidasi identitas Azure

  • Artikel

Gunakan alat Pemeriksa Kesiapan Azure Stack Hub (AzsReadinessChecker) untuk memvalidasi bahwa ID Microsoft Entra Anda siap digunakan dengan Azure Stack Hub. Validasi solusi identitas Azure Anda sebelum memulai penyebaran Azure Stack Hub.

Pemeriksa kesiapan memvalidasi:

  • id Microsoft Entra sebagai penyedia identitas untuk Azure Stack Hub.
  • Akun Microsoft Entra yang Anda rencanakan untuk digunakan dapat masuk sebagai administrator global ID Microsoft Entra Anda.

Validasi memastikan lingkungan Anda siap untuk Azure Stack Hub untuk menyimpan informasi tentang pengguna, aplikasi, grup, dan perwakilan layanan dari Azure Stack Hub di ID Microsoft Entra Anda.

Mendapatkan alat pemeriksa kesiapan

Unduh versi terbaru alat Pemeriksa Kesiapan Azure Stack Hub (AzsReadinessChecker) dari Galeri PowerShell.

Menginstal dan mengonfigurasi

Prasyarat

Prasyarat berikut diperlukan:

Modul Az PowerShell

Anda harus menginstal modul Az PowerShell. Untuk mengetahui petunjuknya, lihat Menginstal modul pratinjau PowerShell Az.

lingkungan Microsoft Entra

  • Identifikasi akun Microsoft Entra yang akan digunakan untuk Azure Stack Hub dan pastikan akun tersebut adalah Administrator Global Microsoft Entra.
  • Identifikasi nama penyewa Microsoft Entra Anda. Nama penyewa harus menjadi nama domain utama untuk ID Microsoft Entra Anda. Misalnya, contoso.onmicrosoft.com.

Langkah-langkah untuk memvalidasi identitas Azure

  1. Di komputer yang memenuhi prasyarat, buka perintah PowerShell yang ditingkatkan, lalu jalankan perintah berikut untuk menginstal AzsReadinessChecker:

    Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
Install-AzProfile -Profile 2020-09-01-hybrid -Force
Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease

  2. Dari perintah PowerShell, jalankan perintah berikut. Ganti contoso.onmicrosoft.com dengan nama penyewa Microsoft Entra Anda:

    Connect-AzAccount -tenant contoso.onmicrosoft.com

  3. Dari perintah PowerShell, jalankan perintah berikut untuk memulai validasi ID Microsoft Entra Anda. Ganti contoso.onmicrosoft.com dengan nama penyewa Microsoft Entra Anda:

    Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com

  4. Setelah alat berjalan, tinjau outputnya. Konfirmasikan statusnya OK untuk persyaratan penginstalan. Validasi yang berhasil muncul seperti contoh berikut:

    Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
Starting Azure Identity Validation

Checking Installation Requirements: OK

Finished Azure Identity Validation

Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Melaporkan dan mencatat file

Setiap kali validasi berjalan, validasi tersebut mencatat hasil ke AzsReadinessChecker.log dan AzsReadinessCheckerReport.json. Lokasi file ini ditampilkan dengan hasil validasi di PowerShell.

File ini dapat membantu Anda berbagi status validasi sebelum Anda menyebarkan Azure Stack Hub atau menyelidiki masalah validasi. Kedua file mempertahankan hasil dari setiap pemeriksaan validasi berikutnya. Laporan tersebut memberikan konfirmasi kepada tim penyebaran Anda tentang konfigurasi identitas. File log dapat membantu penyebaran atau tim dukungan Anda menyelidiki masalah validasi.

Secara default, kedua file ditulis ke C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

  • Gunakan parameter -OutputPath <path> di akhir baris perintah jalankan untuk menentukan lokasi laporan yang berbeda.
  • Gunakan parameter -CleanReport di akhir perintah jalankan untuk menghapus informasi tentang pengoperasian alat sebelumnya dari AzsReadinessCheckerReport.json.

Untuk informasi lebih lanjut, lihat laporan validasi Azure Stack Hub.

Kegagalan validasi

Jika pemeriksaan validasi gagal, detail tentang kegagalan tersebut akan ditampilkan di jendela PowerShell. Alat tersebut juga mencatat informasi ke file AzsReadinessChecker.log.

Contoh-contoh berikut memberikan panduan mengenai kegagalan validasi umum.

Kata sandi kedaluwarsa atau sementara

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Penyebab - Akun tidak dapat masuk karena sandi kedaluwarsa atau bersifat sementara.

Resolusi - Di PowerShell, jalankan perintah berikut dan kemudian ikuti petunjuk untuk mengatur ulang kata sandi:

Login-AzureRMAccount

Cara lain adalah masuk ke Portal Azure sebagai pemilik akun, dan pengguna akan dipaksa untuk mengubah kata sandi.

Jenis pengguna tidak diketahui

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Penyebab - Akun tidak dapat masuk ke ID Microsoft Entra yang ditentukan (AADDirectoryTenantName). Dalam contoh ini, AzureChinaCloud ditentukan sebagai AzureEnvironment.

Resolusi - Konfirmasi bahwa akun tersebut valid untuk lingkungan Azure yang ditentukan. Di PowerShell, jalankan perintah berikut untuk memverifikasi bahwa akun tersebut valid untuk lingkungan tertentu:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Akun bukan administrator

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Penyebab - Meskipun akun dapat berhasil masuk, akun tersebut bukan admin ID Microsoft Entra (AADDirectoryTenantName).

Resolusi - Masuk ke portal Azure sebagai pemilik akun, buka ID Microsoft Entra, lalu Pengguna, lalu Pilih Pengguna. Kemudian pilih Peran Direktori dan pastikan pengguna adalah Administrator perusahaan. Jika akun adalah Pengguna, buka Microsoft Entra ID>Nama domain kustom dan konfirmasikan bahwa nama yang Anda berikan untuk AADDirectoryTenantName ditandai sebagai nama domain utama untuk direktori ini. Dalam contoh ini, itu adalah contoso.onmicrosoft.com.

Azure Stack Hub mengharuskan agar nama domain adalah nama domain utama.

Langkah berikutnya

Memvalidasi pendaftaran Azure
Menampilkan laporan kesiapan
Pertimbangan umum integrasi Azure Stack Hub