Convalidare l'identità di Azure

Usare lo strumento Di verifica dell'idoneità dell'hub di Azure Stack (AzsReadinessChecker) per verificare che l'ID Microsoft Entra sia pronto per l'uso con l'hub di Azure Stack. Convalidare la soluzione di gestione delle identità di Azure prima di iniziare una distribuzione dell'hub di Azure Stack.

Lo strumento Readiness Checker verifica che:

• Microsoft Entra ID come provider di identità per l'hub di Azure Stack.
• L'account Microsoft Entra che si prevede di usare può accedere come amministratore globale dell'ID Microsoft Entra.

La convalida garantisce che l'ambiente sia pronto per l'archiviazione di informazioni su utenti, applicazioni, gruppi e entità servizio dall'hub di Azure Stack nell'ID Microsoft Entra.

Ottenere lo strumento di controllo dell'idoneità

Scaricare la versione più recente dello strumento Readiness Checker dell'hub di Azure Stack (AzsReadinessChecker) da PowerShell Gallery.

Installazione e configurazione

Az PowerShell

Prerequisiti

Sono richiesti i prerequisiti seguenti:

Moduli Az di PowerShell

È necessario installare i moduli Az di PowerShell. Per istruzioni, vedere Installare il modulo di anteprima az di PowerShell.

ambiente Microsoft Entra

• Identificare l'account Microsoft Entra da usare per l'hub di Azure Stack e assicurarsi che sia un amministratore globale Microsoft Entra.
• Identificare il nome del tenant Microsoft Entra. Il nome del tenant deve essere il nome di dominio primario per l'ID Microsoft Entra. Ad esempio, contoso.onmicrosoft.com.

Passaggi per convalidare l'identità di Azure

1. In un computer che soddisfa i prerequisiti aprire un prompt dei comandi di PowerShell con privilegi elevati e quindi eseguire questo comando per installare AzsReadinessChecker:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. Dal prompt di PowerShell eseguire questo comando. Sostituire contoso.onmicrosoft.com con il nome del tenant Microsoft Entra:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. Dal prompt di PowerShell eseguire il comando seguente per avviare la convalida dell'ID Microsoft Entra. Sostituire contoso.onmicrosoft.com con il nome del tenant Microsoft Entra:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Dopo l'esecuzione dello strumento, esaminare l'output. Verificare che lo stato sia OK per i requisiti di installazione. Viene visualizzata una convalida riuscita simile all'esempio seguente:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Prerequisiti

Sono richiesti i prerequisiti seguenti:

Moduli di PowerShell per AzureRM

È necessario installare i moduli Az di PowerShell. Per istruzioni, vedere Installare il modulo AzureRM di PowerShell.

Computer in cui viene eseguito lo strumento

• Windows 10 o Windows Server 2016 con connettività Internet.
• PowerShell 5.1 o versione successiva. Per controllare la versione, eseguire il comando di PowerShell seguente e quindi esaminare la versione principale e le versioni secondarie :

  $PSVersionTable.PSVersion
  

• PowerShell configurato per l'hub di Azure Stack.
• La versione più recente dello strumento Di verifica dell'idoneità dell'hub di Microsoft Azure Stack .

ambiente Microsoft Entra

• Identificare l'account Microsoft Entra da usare per l'hub di Azure Stack e assicurarsi che sia un amministratore globale Microsoft Entra.
• Identificare il nome del tenant Microsoft Entra. Il nome del tenant deve essere il nome di dominio primario per l'ID Microsoft Entra. Ad esempio, contoso.onmicrosoft.com.
• Identificare l'ambiente di Azure che verrà usato. I valori supportati per il parametro del nome dell'ambiente sono AzureCloud, AzureChinaCloud o AzureUSGovernment, a seconda della sottoscrizione di Azure usata.

Passaggi per convalidare l'identità di Azure

1. In un computer che soddisfa i prerequisiti aprire un prompt dei comandi di PowerShell con privilegi elevati e quindi eseguire questo comando per installare AzsReadinessChecker:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. Dal prompt di PowerShell eseguire il comando seguente per impostare $serviceAdminCredential come amministratore del servizio per il tenant Microsoft Entra. Sostituire serviceadmin\@contoso.onmicrosoft.com con l'account e il nome del tenant:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. Dal prompt di PowerShell eseguire il comando seguente per avviare la convalida dell'ID Microsoft Entra:

   • Specificare il valore del nome dell'ambiente per AzureEnvironment. I valori supportati per il parametro del nome dell'ambiente sono AzureCloud, AzureChinaCloud o AzureUSGovernment, a seconda della sottoscrizione di Azure usata.
   • Sostituire contoso.onmicrosoft.com con il nome del tenant Microsoft Entra.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Dopo l'esecuzione dello strumento, esaminare l'output. Verificare che lo stato sia OK per i requisiti di installazione. Viene visualizzata una convalida riuscita simile all'esempio seguente:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Report e file di log

Ogni volta che viene eseguita la convalida, registra i risultati in AzsReadinessChecker.log e AzsReadinessCheckerReport.json. Il percorso di questi file viene visualizzato con i risultati della convalida in PowerShell.

Questi file consentono di condividere lo stato di convalida prima di distribuire l'hub di Azure Stack o analizzare i problemi di convalida. Entrambi i file salvano i risultati di ogni controllo di convalida successivo. Il report fornisce al team di distribuzione la conferma della configurazione dell'identità. Il file di log può aiutare il team di supporto o di distribuzione a esaminare i problemi di convalida.

Per impostazione predefinita, entrambi i file vengono scritti in C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

• Usare il parametro -OutputPath <path> alla fine della riga di comando di esecuzione per specificare un percorso del report diverso.
• Usare il parametro -CleanReport alla fine del comando di esecuzione per cancellare informazioni sulle esecuzioni precedenti dello strumento da AzsReadinessCheckerReport.json.

Per altre informazioni, vedere Report di convalida dell'hub di Azure Stack.

Errori di convalida

Se un controllo di convalida non riesce, informazioni dettagliate sulla visualizzazione degli errori nella finestra di PowerShell. Lo strumento registra anche le informazioni nel file AzsReadinessChecker.log.

Gli esempi seguenti forniscono indicazioni sugli errori di convalida comuni.

Password scaduta o temporanea

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa: l'account non può accedere perché la password è scaduta o temporanea.

Risoluzione : in PowerShell eseguire il comando seguente e quindi seguire le istruzioni per reimpostare la password:

Login-AzureRMAccount

Un altro modo consiste nell'accedere al portale di Azure come proprietario dell'account e l'utente verrà costretto a modificare la password.

Tipo di utente sconosciuto

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa: l'account non può accedere all'ID di Microsoft Entra specificato (AADDirectoryTenantName). In questo esempio AzureChinaCloud viene specificato come AzureEnvironment.

Risoluzione : verificare che l'account sia valido per l'ambiente Azure specificato. In PowerShell eseguire il comando seguente per verificare che l'account sia valido per un ambiente specifico:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

L'account non è un amministratore

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa: anche se l'account può accedere correttamente, l'account non è un amministratore dell'ID Microsoft Entra (AADDirectoryTenantName).

Risoluzione: accedere al portale di Azure come proprietario dell'account, passare a Microsoft Entra ID, quindi Utenti e quindi Selezionare l'utente. Selezionare quindi Ruolo directory e assicurarsi che l'utente sia un amministratore globale. Se l'account è un utente, passare a Microsoft Entra ID>Nomi di dominio personalizzati e verificare che il nome specificato per AADDirectoryTenantName sia contrassegnato come nome di dominio primario per questa directory. In questo esempio si tratta di contoso.onmicrosoft.com.

L'hub di Azure Stack richiede che il nome di dominio sia il nome di dominio primario.

Passaggi successivi

Convalidare la registrazione di Azure
Visualizzare il report di conformità
Considerazioni generali sull'integrazione dell'hub di Azure Stack