Configurare la multi-tenancy nell'hub di Azure Stack

  • Articolo

È possibile configurare l'hub di Azure Stack per supportare gli accessi da utenti che risiedono in altre directory Microsoft Entra, consentendo loro di usare i servizi nell'hub di Azure Stack. Queste directory hanno una relazione "guest" con la directory dell'hub di Azure Stack e sono considerate guest Microsoft Entra tenant.

Ad esempio, si consideri lo scenario seguente:

  • Si è l'amministratore del servizio di contoso.onmicrosoft.com, la home Microsoft Entra tenant che fornisce servizi di gestione delle identità e degli accessi all'hub di Azure Stack.
  • Mary è l'amministratore della directory di adatum.onmicrosoft.com, il tenant Microsoft Entra guest in cui si trovano gli utenti guest.
  • La società di Mary (Adatum) usa i servizi IaaS e PaaS dell'azienda. Adatum vuole consentire agli utenti della directory guest (adatum.onmicrosoft.com) di accedere e usare le risorse dell'hub di Azure Stack protette da contoso.onmicrosoft.com.

Questa guida illustra i passaggi necessari, nel contesto di questo scenario, per abilitare o disabilitare la multi-tenancy nell'hub di Azure Stack per un tenant di directory guest. Per eseguire questo processo, è necessario registrare o annullare la registrazione del tenant della directory guest, che abilita o disabilita gli accessi e l'utilizzo del servizio dell'hub di Azure Stack dagli utenti di Adatum.

Se si è un cloud solution provider (CSP), sono disponibili altri modi per configurare e gestire un hub di Azure Stack multi-tenant.

Prerequisiti

Prima di registrare o annullare la registrazione di una directory guest, è necessario completare i passaggi amministrativi per i rispettivi tenant Microsoft Entra: la home directory dell'hub di Azure Stack (Contoso) e la directory guest (Adatum):

Registrare una directory guest

Per registrare una directory guest per la multi-tenancy, è necessario configurare sia la directory principale dell'hub di Azure Stack che la directory guest.

Configurare la directory dell'hub di Azure Stack

L'amministratore del servizio di contoso.onmicrosoft.com deve prima eseguire l'onboarding del tenant della directory guest di Adatum nell'hub di Azure Stack. Lo script seguente configura Azure Resource Manager per accettare gli accessi da utenti e entità servizio nel tenant adatum.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Configurare la directory guest

Successivamente, Mary (amministratore directory di Adatum) deve registrare l'hub di Azure Stack con la directory guest adatum.onmicrosoft.com eseguendo lo script seguente:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Importante

Se l'amministratore dell'hub di Azure Stack installa nuovi servizi o aggiornamenti in futuro, potrebbe essere necessario eseguire di nuovo questo script.

Eseguire di nuovo questo script in qualsiasi momento per controllare lo stato delle app dell'hub di Azure Stack nella directory.

Se si notano problemi con la creazione di macchine virtuali in Managed Disks (introdotta nell'aggiornamento 1808), è stato aggiunto un nuovo provider di risorse del disco, che richiede l'esecuzione di questo script.

Indirizzare gli utenti all'accesso

Infine, Mary può indirizzare gli utenti di Adatum con @adatum.onmicrosoft.com account ad accedere visitando il portale utenti dell'hub di Azure Stack. Per i sistemi multinodo, l'URL del portale utenti è formattato come https://portal.<region>.<FQDN>. Per una distribuzione ASDK, l'URL è https://portal.local.azurestack.external.

Mary deve anche indirizzare qualsiasi entità esterna (utenti nella directory Adatum senza il suffisso di adatum.onmicrosoft.com) per accedere usando https://<user-portal-url>/adatum.onmicrosoft.com. Se non specificano il /adatum.onmicrosoft.com tenant della directory nell'URL, vengono inviati alla directory predefinita e ricevono un errore che indica che l'amministratore non ha acconsentito.

Annullare la registrazione di una directory guest

Se non si vogliono più consentire gli accessi ai servizi dell'hub di Azure Stack da un tenant della directory guest, è possibile annullare la registrazione della directory. Anche in questo caso, è necessario configurare sia la directory principale dell'hub di Azure Stack che la directory guest:

  1. Come amministratore della directory guest (Mary in questo scenario), eseguire Unregister-AzsWithMyDirectoryTenant. Il cmdlet disinstalla tutte le app dell'hub di Azure Stack dalla nuova directory.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Unregister-AzsWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

  2. Come amministratore del servizio dell'hub di Azure Stack (in questo scenario), eseguire il Unregister-AzSGuestDirectoryTenant cmdlet :

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
$ResourceGroupName = "system.local"

Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
 -ResourceGroupName $ResourceGroupName

    Avviso

    I passaggi per disabilitare la multi-tenancy devono essere eseguiti in ordine. Il passaggio 1 ha esito negativo se il passaggio 2 è stato completato per primo.

Recuperare il report sull'integrità dell'identità dell'hub di Azure Stack

Sostituire i <region>segnaposto , <domain>e <homeDirectoryTenant> , quindi eseguire il cmdlet seguente come amministratore dell'hub di Azure Stack.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Aggiornare le autorizzazioni del tenant Microsoft Entra

Questa azione cancella un avviso nell'hub di Azure Stack, a indicare che una directory richiede un aggiornamento. Eseguire il comando seguente dalla cartella Azurestack-tools-master/identity:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

Lo script richiede le credenziali amministrative nel tenant Microsoft Entra e richiede alcuni minuti per l'esecuzione. L'avviso viene cancellato dopo l'esecuzione del cmdlet.

La gestione basata sul portale non è supportata per questa versione

La gestione multi-tenancy tramite il portale di amministrazione è disponibile solo per le versioni 2102 e successive. Selezionare una versione successiva usando il selettore nella parte superiore sinistra della pagina.

Registrare una directory guest

Per registrare una directory guest per la multi-tenancy, è necessario configurare sia la directory principale dell'hub di Azure Stack che la directory guest.

Configurare la directory dell'hub di Azure Stack

Il primo passaggio consiste nel rendere il sistema dell'hub di Azure Stack consapevole della directory guest. In questo esempio la directory della società di Mary, Adatum, viene chiamata adatum.onmicrosoft.com.

  1. Accedere al portale di amministrazione dell'hub di Azure Stack e passare a Tutti i servizi - Directory.

    Screenshot che mostra l'elenco delle directory.

  2. Selezionare Aggiungi per avviare il processo di onboarding. Immettere il nome della directory guest "adatum.onmicrosoft.com" e quindi selezionare Aggiungi.

    Screenshot che mostra come aggiungere una nuova directory.

  3. La directory guest viene visualizzata nella visualizzazione elenco, con lo stato di annullamento della registrazione.

    Screenshot che mostra la nuova directory guest con stato non registrato.

  4. Solo Mary ha le credenziali per l'autenticazione nella directory guest, quindi è necessario inviarlo il collegamento per completare la registrazione. Selezionare la casella di controllo adatum.onmicrosoft.com e quindi selezionare Registra.

    Screenshot che mostra la selezione di una directory da registrare.

  5. Si apre una nuova scheda del browser. Selezionare Copia collegamento nella parte inferiore della pagina e specificarlo a Mary.

  6. Se si dispone delle credenziali per la directory guest, è possibile completare manualmente la registrazione selezionando Accedi.

    Screenshot che mostra la selezione dell'accesso.

Configurare la directory guest

Mary ha ricevuto il messaggio di posta elettronica con il collegamento per registrare la directory. Apre il collegamento in un browser e conferma l'ID Microsoft Entra e l'endpoint di Azure Resource Manager del sistema hub di Azure Stack.

  1. Mary accede usando le credenziali di amministratore globale per adatum.onmicrosoft.com.

    Nota

    Assicurarsi che i blocchi popup siano disabilitati prima dell'accesso.

    Screenshot che mostra l'accesso per gestire una directory.

  2. Mary esamina lo stato della directory e vede che non è registrato.

    Screenshot che mostra una directory non registrata.

  3. Mary seleziona Registra per avviare il processo.

    Nota

    Gli oggetti obbligatori per Visual Studio Code potrebbero non essere in grado di essere creati e devono usare PowerShell.

    Screenshot che mostra la registrazione della directory iniziale.

  4. Al termine del processo di registrazione, Mary può esaminare tutte le applicazioni create nella directory e controllarne lo stato.

    Screenshot che mostra una directory registrata.

  5. Mary ha completato correttamente il processo di registrazione e può ora indirizzare gli utenti ad Adatum con @adatum.onmicrosoft.com account per accedere visitando il portale utenti dell'hub di Azure Stack. Per i sistemi multinodo, l'URL del portale utenti è formattato come https://portal.<region>.<FQDN>. Per una distribuzione ASDK, l'URL è https://portal.local.azurestack.external.

Importante

L'operatore di Azure Stack può richiedere fino a un'ora per visualizzare lo stato della directory aggiornato nel portale di amministrazione.

Mary deve anche indirizzare qualsiasi entità esterna (utenti nella directory Adatum senza il suffisso di adatum.onmicrosoft.com) per accedere usando https://<user-portal-url>/adatum.onmicrosoft.com. Se non specificano il /adatum.onmicrosoft.com tenant della directory nell'URL, vengono inviati alla directory predefinita e ricevono un errore che indica che l'amministratore non ha acconsentito.

Annullare la registrazione di una directory guest

Se non si vogliono più consentire gli accessi ai servizi dell'hub di Azure Stack da un tenant della directory guest, è possibile annullare la registrazione della directory. Anche in questo caso, è necessario configurare sia la directory principale dell'hub di Azure Stack che la directory guest:

Configurare la directory guest

Mary non usa più i servizi nell'hub di Azure Stack e deve rimuovere gli oggetti. Apre di nuovo l'URL ricevuto tramite posta elettronica per annullare la registrazione della directory. Prima di avviare questo processo, Mary rimuove tutte le risorse dalla sottoscrizione dell'hub di Azure Stack.

  1. Mary accede usando le credenziali di amministratore globale per adatum.onmicrosoft.com.

    Nota

    Assicurarsi che i blocchi popup siano disabilitati prima dell'accesso.

    Screenshot che mostra la selezione di Accesso.

  2. Maria vede lo stato della directory.

    Screenshot che mostra una directory registrata.

  3. Mary seleziona Annulla registrazione per avviare l'azione.

    Screenshot che mostra selecing Unregister to annulla la registrazione di una directory.

  4. Al termine del processo, lo stato viene visualizzato come Non registrato:

    Screenshot che mostra una directory non registrata.

    Mary ha annullato la registrazione della directory adatum.onmicrosoft.com.

    Nota

    Può richiedere fino a un'ora per visualizzare la directory come non registrata nel portale di amministrazione di Azure Stack.

Configurare la directory dell'hub di Azure Stack

Come operatore dell'hub di Azure Stack, è possibile rimuovere la directory guest in qualsiasi momento, anche se Mary non ha registrato in precedenza la directory.

  1. Accedere al portale di amministrazione dell'hub di Azure Stack e passare a Tutti i servizi - Directory.

    Screenshot che mostra tutte le directory.

  2. Selezionare la casella di controllo adatum.onmicrosoft.com directory e quindi selezionare Rimuovi.

    Screenshot che mostra la selezione di Rimuovi per una directory.

  3. Confermare l'azione di eliminazione digitando e selezionando Rimuovi.

    Screenshot che mostra come rimuovere una directory.

    La directory è stata rimossa correttamente.

Gestione degli aggiornamenti obbligatori

Gli aggiornamenti dell'hub di Azure Stack possono introdurre il supporto per nuovi strumenti o servizi che potrebbero richiedere un aggiornamento della directory home o guest.

Come operatore hub di Azure Stack, viene visualizzato un avviso nel portale di amministrazione che informa di un aggiornamento della directory richiesto. È anche possibile determinare se è necessario un aggiornamento per le directory home o guest visualizzando il riquadro directory nel portale di amministrazione. Ogni elenco di directory mostra il tipo di directory. Il tipo può essere una directory home o guest e viene visualizzato lo stato.

Aggiornare le directory dell'hub di Azure Stack

Quando è necessario un aggiornamento della directory dell'hub di Azure Stack, viene visualizzato uno stato di Aggiornamento obbligatorio . Ad esempio:

Screenshot che mostra una directory che richiede un aggiornamento.

Per aggiornare la directory, selezionare la casella di controllo Nome directory e quindi selezionare Aggiorna.

Aggiornare la directory guest

Un operatore dell'hub di Azure Stack deve anche informare il proprietario della directory guest che devono aggiornare la directory usando l'URL condiviso per la registrazione. L'operatore può inviare nuovamente l'URL, ma non cambia.

Mary, proprietario della directory guest, apre l'URL ricevuto tramite posta elettronica quando ha registrato la directory:

  1. Mary accede usando le credenziali di amministratore globale per adatum.onmicrosoft.com. Assicurarsi che i blocchi popup siano disabilitati prima dell'accesso.

    Screenshot che mostra la selezione di Accesso.

  2. Mary vede lo stato della directory che indica che è necessario un aggiornamento.

  3. L'azione Update è disponibile per Mary per aggiornare la directory guest. Può richiedere fino a un'ora per visualizzare la directory come registrata nel portale di amministrazione di Azure Stack.

Funzionalità aggiuntive

Un operatore hub di Azure Stack può visualizzare le sottoscrizioni associate a una directory. Inoltre, ogni directory ha un'azione per gestire la directory direttamente nella portale di Azure. Per gestire, la directory di destinazione deve disporre delle autorizzazioni di gestione nell'portale di Azure.

Passaggi successivi