Mengonfigurasi multi-penyewa di Azure Stack Hub

Anda dapat mengonfigurasi Azure Stack Hub untuk mendukung rincian masuk dari pengguna yang berada di direktori Microsoft Entra lain, memungkinkan mereka menggunakan layanan di Azure Stack Hub. Direktori ini memiliki hubungan "tamu" dengan direktori Azure Stack Hub Anda, dan dianggap sebagai penyewa Microsoft Entra tamu.

Misalnya, pertimbangkan skenario ini:

• Anda adalah administrator layanan contoso.onmicrosoft.com, penyewa Microsoft Entra rumah yang menyediakan layanan manajemen identitas dan akses ke Azure Stack Hub.
• Mary adalah administrator direktori adatum.onmicrosoft.com, tamu Microsoft Entra penyewa tempat pengguna tamu berada.
• Perusahaan Mary (Adatum) menggunakan layanan IaaS dan PaaS dari perusahaan Anda. Adatum ingin mengizinkan pengguna dari direktori tamu (adatum.onmicrosoft.com) untuk masuk dan menggunakan sumber daya Azure Stack Hub yang dilindungi oleh contoso.onmicrosoft.com.

Panduan ini menyediakan langkah-langkah yang diperlukan, dalam konteks skenario ini, guna mengaktifkan atau menonaktifkan multi-penyewa di Azure Stack Hub untuk penyewa direktori tamu. Anda dan Mary menyelesaikan proses ini dengan mendaftarkan atau membatalkan pendaftaran penyewa direktori tamu, yang mengaktifkan atau menonaktifkan proses masuk Azure Stack Hub dan konsumsi layanan oleh pengguna Adatum.

Jika Anda seorang Penyedia Solusi Cloud (CSP), Anda memiliki cara lain untuk mengonfigurasi dan mengelola Azure Stack Hub multi-penyewa.

Prasyarat

Sebelum mendaftar atau membatalkan pendaftaran direktori tamu, Anda dan Mary harus menyelesaikan langkah-langkah administratif untuk penyewa Microsoft Entra Anda masing-masing: direktori beranda Azure Stack Hub (Contoso), dan direktori tamu (Adatum):

• Instal dan konfigurasi PowerShell untuk Azure Stack Hub.

• Unduh Alat Azure Stack Hub, lalu impor modul Koneksi dan Identitas:

  Import-Module .\Identity\AzureStack.Identity.psm1
  

Mendaftarkan direktori tamu

Guna mendaftarkan direktori tamu untuk multi-penyewa, Anda harus mengonfigurasi direktori utama Azure Stack Hub dan direktori tamu.

Mengonfigurasi direktori Azure Stack Hub

Sebagai administrator layanan contoso.onmicrosoft.com, Anda harus terlebih dahulu melakukan onboard penyewa direktori tamu Adatum ke Azure Stack Hub. Skrip berikut mengonfigurasi Azure Resource Manager untuk menerima proses masuk pengguna dan perwakilan layanan di adatum.onmicrosoft.com penyewa:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Mengonfigurasi direktori tamu

Selanjutnya, Mary (admin direktori Adatum) harus mendaftarkan Azure Stack Hub dengan direktori tamu adatum.onmicrosoft.com dengan menjalankan skrip berikut:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Penting

Jika administrator Azure Stack Hub Anda menginstal layanan atau pembaruan baru di masa mendatang, Anda mungkin perlu menjalankan skrip ini lagi.

Jalankan skrip ini lagi kapan saja untuk memeriksa status aplikasi Azure Stack Hub di direktori Anda.

Jika Anda melihat masalah pada pembuatan mesin virtual di Disk Terkelola (diperkenalkan do pembaruan 1808), penyedia sumber daya disk baru ditambahkan, sehingga mengharuskan skrip ini dijalankan lagi.

Mengarahkan pengguna untuk masuk

Terakhir, Mary dapat mengarahkan pengguna Adatum dengan akun @adatum.onmicrosoft.com untuk masuk dengan mengunjungi portal pengguna Azure Stack Hub. Untuk sistem multinode, URL portal pengguna diformat sebagai https://portal.<region>.<FQDN>. Untuk penyebaran ASDK, URL-nya adalah https://portal.local.azurestack.external.

Mary juga harus mengarahkan prinsipal asing (pengguna di direktori Adatum tanpa akhiran adatum.onmicrosoft.com) untuk masuk menggunakan https://<user-portal-url>/adatum.onmicrosoft.com. Jika mereka tidak menentukan penyewa direktori /adatum.onmicrosoft.com di URL, mereka akan diarahkan ke direktori default dan menerima kesalahan dengan pesan bahwa administrator mereka belum memberikan persetujuan.

Membatalkan pendaftaran direktori tamu

Jika Anda tidak lagi ingin mengizinkan proses masuk ke layanan Azure Stack Hub dari penyewa direktori tamu, Anda dapat membatalkan pendaftaran direktori. Sekali lagi, direktori utama Azure Stack Hub dan direktori tamu perlu dikonfigurasi:

1. Sebagai administrator direktori tamu (Mary dalam skenario ini), jalankan Unregister-AzsWithMyDirectoryTenant. Cmdlet menghapus instalasi semua aplikasi Azure Stack Hub dari direktori baru.

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
   $tenantARMEndpoint = "https://management.local.azurestack.external"
   
   ## Replace the value below with the guest directory tenant.
   $guestDirectoryTenantName = "adatum.onmicrosoft.com"
   
   Unregister-AzsWithMyDirectoryTenant `
    -TenantResourceManagerEndpoint $tenantARMEndpoint `
    -DirectoryTenantName $guestDirectoryTenantName `
    -Verbose 
   

2. Sebagai administrator layanan Azure Stack Hub (Anda dalam skenario ini), jalankan cmdlet Unregister-AzSGuestDirectoryTenant:

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
   $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
   
   ## Replace the value below with the Azure Stack Hub directory
   $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
   
   ## Replace the value below with the guest directory tenant. 
   $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
   
   ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
   $ResourceGroupName = "system.local"
   
   Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
    -DirectoryTenantName $azureStackDirectoryTenant `
    -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
    -ResourceGroupName $ResourceGroupName
   

   Peringatan

   Langkah-langkah untuk menonaktifkan multi-penyewa harus dilakukan secara berurutan. Langkah # 1 gagal jika langkah # 2 selesai terlebih dahulu.

Mengambil laporan kesehatan identitas Azure Stack Hub

Ganti tempat penampung <region>, <domain>, dan <homeDirectoryTenant>, lalu jalankan cmdlet berikut sebagai administrator Azure Stack Hub.

$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Memperbarui izin penyewa Microsoft Entra

Tindakan ini menghapus peringatan di Azure Stack Hub, yang menunjukkan bahwa direktori memerlukan pembaruan. Jalankan perintah berikut dari folder Azurestack-tools-master/identity:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

Skrip meminta kredensial administratif pada penyewa Microsoft Entra, dan membutuhkan waktu beberapa menit untuk dijalankan. Peringatan tersebut akan menghilang setelah Anda menjalankan cmdlet.

Mendaftarkan direktori tamu

Guna mendaftarkan direktori tamu untuk multi-penyewa, Anda harus mengonfigurasi direktori utama Azure Stack Hub dan direktori tamu.

Mengonfigurasi direktori Azure Stack Hub

Langkah pertama adalah membuat sistem Azure Stack Hub Anda mengetahui direktori tamu. Dalam contoh ini, direktori dari perusahaan Mary, Adatum, disebut adatum.onmicrosoft.com.

1. Masuk ke portal administrator Azure Stack Hub dan buka Semua layanan - Direktori.

   

2. Pilih Tambahkan untuk memulai proses onboarding. Masukkan nama direktori tamu "adatum.onmicrosoft.com", lalu pilih Tambahkan.

   

3. Direktori tamu muncul dalam tampilan daftar, dengan status tidak terdaftar.

   

4. Hanya Mary yang memiliki kredensial untuk melakukan autentikasi ke direktori tamu. Jadi, Anda harus mengiriminya tautan untuk menyelesaikan pendaftaran. Pilih kotak centang adatum.onmicrosoft.com, lalu pilih Daftar.

   

5. Tab browser baru terbuka. Pilih Salin tautan di bagian bawah halaman, lalu berikan kepada Maria.

6. Jika Anda memiliki kredensial untuk direktori tamu, Anda dapat menyelesaikan pendaftaran sendiri dengan memilih Masuk.

   

Mengonfigurasi direktori tamu

Mary menerima email dengan tautan untuk mendaftarkan direktori. Dia membuka tautan di browser dan mengonfirmasi ID Microsoft Entra dan titik akhir Azure Resource Manager sistem Azure Stack Hub Anda.

1. Mary masuk dengan menggunakan kredensial admin globalnya untuk adatum.onmicrosoft.com.

   Catatan

   Pastikan pemblokir pop-up dinonaktifkan sebelum masuk.

   

2. Mary meninjau status untuk direktori dan melihatnya tidak terdaftar.

   

3. Mary memilih Daftar untuk memulai prosesnya.

   Catatan

   Objek yang diperlukan untuk Visual Studio Code mungkin tidak dapat dibuat dan pembuatannya harus menggunakan PowerShell.

   

4. Setelah proses pendaftaran selesai, Mary dapat meninjau semua aplikasi yang dibuat di direktori dan memeriksa statusnya.

   

5. Mary telah berhasil menyelesaikan proses pendaftaran dan kini dapat mengarahkan pengguna Adatum dengan akun @adatum.onmicrosoft.com untuk masuk dengan mengunjungi portal pengguna Azure Stack Hub. Untuk sistem multinode, URL portal pengguna diformat sebagai https://portal.<region>.<FQDN>. Untuk penyebaran ASDK, URL-nya adalah https://portal.local.azurestack.external.

Penting

Diperlukan waktu hingga satu jam bagi operator Azure Stack untuk melihat perubahan status direktori di portal admin.

Mary juga harus mengarahkan prinsipal asing (pengguna di direktori Adatum tanpa akhiran adatum.onmicrosoft.com) untuk masuk menggunakan https://<user-portal-url>/adatum.onmicrosoft.com. Jika mereka tidak menentukan penyewa direktori /adatum.onmicrosoft.com di URL, mereka akan diarahkan ke direktori default dan menerima kesalahan dengan pesan bahwa administrator mereka belum memberikan persetujuan.

Membatalkan pendaftaran direktori tamu

Jika Anda tidak lagi ingin mengizinkan proses masuk ke layanan Azure Stack Hub dari penyewa direktori tamu, Anda dapat membatalkan pendaftaran direktori. Sekali lagi, direktori utama Azure Stack Hub dan direktori tamu perlu dikonfigurasi:

Mengonfigurasi direktori tamu

Mary tidak lagi menggunakan layanan di Azure Stack Hub dan harus menghapus objek. Dia membuka URL lagi yang dia terima melalui email untuk membatalkan pendaftaran direktori. Sebelum memulai proses ini, Mary menghapus semua sumber daya dari langganan Azure Stack Hub.

1. Mary masuk dengan menggunakan kredensial admin globalnya untuk adatum.onmicrosoft.com.

   Catatan

   Pastikan pemblokir pop-up dinonaktifkan sebelum masuk.

   

2. Mary melihat status direktori.

   

3. Mary memilih Batalkan pendaftaran untuk memulai tindakan.

   

4. Ketika proses telah selesai, status ditampilkan sebagai Tidak terdaftar:

   

   Mary telah berhasil membatalkan pendaftaran direktori adatum.onmicrosoft.com.

   Catatan

   Diperlukan waktu hingga satu jam agar direktori ditampilkan karena tidak terdaftar di portal admin Azure Stack.

Mengonfigurasi direktori Azure Stack Hub

Sebagai operator Azure Stack Hub, Anda dapat menghapus direktori tamu kapan saja, bahkan jika Mary belum membatalkan pendaftaran direktori sebelumnya.

1. Masuk ke portal administrator Azure Stack Hub dan buka Semua layanan - Direktori.

   

2. Pilih kotak centang direktori adatum.onmicrosoft.com, lalu pilih Hapus.

   

3. Konfirmasi tindakan penghapusan dengan mengetik ya dan pilih Hapus.

   

   Anda telah berhasil menghapus direktori.

Mengelola pembaruan yang diperlukan

Pembaruan Azure Stack Hub dapat memperkenalkan dukungan untuk alat atau layanan baru yang mungkin memerlukan pembaruan direktori utama atau tamu.

Sebagai operator Azure Stack Hub, Anda mendapatkan peringatan di portal admin yang memberi tahu Anda tentang pembaruan direktori yang diperlukan. Anda juga dapat menentukan apakah pembaruan diperlukan untuk direktori utama atau tamu dengan melihat panel direktori di portal admin. Setiap daftar direktori menunjukkan jenis direktori. Jenisnya dapat berupa direktori utama atau tamu dan statusnya akan ditampilkan.

Memperbarui direktori Azure Stack Hub

Saat pembaruan direktori Azure Stack Hub diperlukan, status Pembaruan Diperlukan akan ditampilkan. Contohnya:

Untuk memperbarui direktori, pilih kotak centang Nama direktori, lalu pilih Perbarui.

Memperbarui direktori tamu

Operator Azure Stack Hub juga harus memberi tahu pemilik direktori tamu bahwa direktori mereka perlu diperbarui menggunakan URL yang dibagikan untuk pendaftaran. Operator dapat mengirim ulang URL, tetapi tidak berubah.

Mary, pemilik direktori tamu, membuka URL yang dia terima melalui email ketika dia mendaftarkan direktori:

1. Mary masuk dengan menggunakan kredensial admin globalnya untuk adatum.onmicrosoft.com. Pastikan pemblokir pop-up dinonaktifkan sebelum masuk.

   

2. Mary melihat status direktori yang mengatakan bahwa pembaruan diperlukan.

3. Tindakan Pembaruan tersedia bagi Mary untuk memperbarui direktori tamu. Diperlukan waktu hingga satu jam agar direktori ditampilkan saat didaftarkan di portal admin Azure Stack.

Kemampuan tambahan

Operator Azure Stack Hub dapat melihat langganan yang terkait dengan direktori. Selain itu, setiap direktori memiliki tindakan untuk mengelola direktori secara langsung di portal Microsoft Azure. Untuk mengelola, direktori target harus memiliki izin kelola di portal Microsoft Azure.

Langkah berikutnya

• Mengelola penyedia yang didelegasikan
• Konsep utama Azure Stack Hub
• Mengelola penggunaan dan tagihan untuk Azure Stack Hub sebagai Penyedia Solusi Cloud
• Menambahkan penyewa untuk penggunaan dan tagihan ke Azure Stack Hub