Multitenancy configureren in Azure Stack Hub
U kunt Azure Stack Hub configureren voor ondersteuning van aanmeldingen van gebruikers die zich in andere Microsoft Entra directory's bevinden, zodat ze services in Azure Stack Hub kunnen gebruiken. Deze mappen hebben een 'gast'-relatie met uw Azure Stack Hub-directory en worden beschouwd als gast-Microsoft Entra-tenants.
Neem bijvoorbeeld het volgende scenario:
- U bent de servicebeheerder van contoso.onmicrosoft.com, de Microsoft Entra tenant die identiteits- en toegangsbeheerservices biedt voor Azure Stack Hub.
- Mary is de directorybeheerder van adatum.onmicrosoft.com, de gast Microsoft Entra tenant waar gastgebruikers zich bevinden.
- Het bedrijf van Mary (Adatum) maakt gebruik van IaaS- en PaaS-services van uw bedrijf. Adatum wil gebruikers uit de gastmap (adatum.onmicrosoft.com) toestaan zich aan te melden en Azure Stack Hub-resources te gebruiken die worden beveiligd door contoso.onmicrosoft.com.
Deze handleiding bevat de stappen die in de context van dit scenario nodig zijn om multitenancy in of uit te schakelen in Azure Stack Hub voor een gastmaptenant. U en Mary voeren dit proces uit door de tenant van de gastmap te registreren of op te heffen. Hierdoor worden aanmeldingen en serviceverbruik van Azure Stack Hub door Adatum-gebruikers in- of uitgeschakeld.
Als u een Cloud Solution Provider (CSP) bent, hebt u andere manieren om een Azure Stack Hub met meerdere tenants te configureren en te beheren.
Vereisten
Voordat u een gastmap registreert of de registratie ervan ongedaan maakt, moeten u en Mary de beheerstappen voltooien voor uw respectieve Microsoft Entra tenants: de Azure Stack Hub-basismap (Contoso) en de gastmap (Adatum):
PowerShell voor Azure Stack Hub installeren en configureren .
Download de Azure Stack Hub Tools en importeer vervolgens de modules Connect en Identity:
Import-Module .\Identity\AzureStack.Identity.psm1
Een gastmap registreren
Als u een gastmap wilt registreren voor meerdere tenants, moet u zowel de basismap van Azure Stack Hub als de gastmap configureren.
Azure Stack Hub-map configureren
Als servicebeheerder van contoso.onmicrosoft.com moet u eerst de tenant van de Adatum-gastmap onboarden naar Azure Stack Hub. Met het volgende script configureert u Azure Resource Manager om aanmeldingen van gebruikers en service-principals in de adatum.onmicrosoft.com-tenant te accepteren:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"
## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"
## Replace the value below with the region location of the resource group.
$location = "local"
# Subscription Name
$SubscriptionName = "Default Provider Subscription"
Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
-DirectoryTenantName $azureStackDirectoryTenant `
-GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
-Location $location `
-ResourceGroupName $ResourceGroupName `
-SubscriptionName $SubscriptionName
Gastmap configureren
Vervolgens moet Mary (directorybeheerder van Adatum) Azure Stack Hub registreren bij de adatum.onmicrosoft.com gastmap door het volgende script uit te voeren:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"
Register-AzSWithMyDirectoryTenant `
-TenantResourceManagerEndpoint $tenantARMEndpoint `
-DirectoryTenantName $guestDirectoryTenantName `
-Verbose
Belangrijk
Als uw Azure Stack Hub-beheerder in de toekomst nieuwe services of updates installeert, moet u dit script mogelijk opnieuw uitvoeren.
Voer dit script op elk gewenst moment opnieuw uit om de status van de Azure Stack Hub-apps in uw directory te controleren.
Als u problemen ondervindt met het maken van VM's in Managed Disks (geïntroduceerd in de 1808-update), is er een nieuwe schijfresourceprovider toegevoegd, waardoor dit script opnieuw moet worden uitgevoerd.
Gebruikers aansturen om zich aan te melden
Ten slotte kan Mary Adatum-gebruikers met @adatum.onmicrosoft.com accounts doorsturen om zich aan te melden door naar de Azure Stack Hub-gebruikersportal te gaan. Voor systemen met meerdere knooppunten is de URL van de gebruikersportal opgemaakt als https://portal.<region>.<FQDN>. Voor een ASDK-implementatie is https://portal.local.azurestack.externalde URL .
Mary moet ook eventuele buitenlandse principals (gebruikers in de Adatum-directory zonder het achtervoegsel van adatum.onmicrosoft.com) om zich aan te melden met behulp van https://<user-portal-url>/adatum.onmicrosoft.com. Als ze de /adatum.onmicrosoft.com maptenant niet opgeven in de URL, worden ze verzonden naar hun standaardmap en krijgen ze een foutmelding dat de beheerder geen toestemming heeft gegeven.
Registratie van een gastmap ongedaan maken
Als u aanmeldingen bij Azure Stack Hub-services niet meer wilt toestaan vanuit een tenant van een gastmap, kunt u de registratie van de directory ongedaan maken. Ook hier moeten zowel de Azure Stack Hub-basismap als de gastmap worden geconfigureerd:
Voer
Unregister-AzsWithMyDirectoryTenantuit als beheerder van de gastmap (In dit scenario Mary). De cmdlet verwijdert alle Azure Stack Hub-apps uit de nieuwe map.## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>. $tenantARMEndpoint = "https://management.local.azurestack.external" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantName = "adatum.onmicrosoft.com" Unregister-AzsWithMyDirectoryTenant ` -TenantResourceManagerEndpoint $tenantARMEndpoint ` -DirectoryTenantName $guestDirectoryTenantName ` -VerboseVoer als servicebeheerder van Azure Stack Hub (u in dit scenario) de
Unregister-AzSGuestDirectoryTenantcmdlet uit:## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>. $adminARMEndpoint = "https://adminmanagement.local.azurestack.external" ## Replace the value below with the Azure Stack Hub directory $azureStackDirectoryTenant = "contoso.onmicrosoft.com" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com" ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist). $ResourceGroupName = "system.local" Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint ` -DirectoryTenantName $azureStackDirectoryTenant ` -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned ` -ResourceGroupName $ResourceGroupNameWaarschuwing
De stappen voor het uitschakelen van multitenancy moeten in de juiste volgorde worden uitgevoerd. Stap 1 mislukt als stap 2 eerst is voltooid.
Azure Stack Hub-rapport over identiteitsstatus ophalen
Vervang de <region>tijdelijke aanduidingen , <domain>en <homeDirectoryTenant> en voer de volgende cmdlet uit als azure Stack Hub-beheerder.
$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft
Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft
Tenantmachtigingen voor Microsoft Entra bijwerken
Met deze actie wordt een waarschuwing in Azure Stack Hub gewist, waarmee wordt aangegeven dat een directory moet worden bijgewerkt. Voer de volgende opdracht uit vanuit de map Azurestack-tools-master/identity :
Import-Module ..\Identity\AzureStack.Identity.psm1
$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"
Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
-DirectoryTenantName $homeDirectoryTenantName -Verbose
Het script vraagt u om beheerdersreferenties op de Microsoft Entra tenant en het duurt enkele minuten om uit te voeren. De waarschuwing wordt gewist nadat u de cmdlet hebt uitgevoerd.
Beheer op basis van de portal wordt niet ondersteund voor deze versie
Beheer van meerdere tenants met behulp van de beheerdersportal is alleen beschikbaar voor versies 2102 en hoger. Selecteer een latere versie met behulp van de selector in de linkerbovenhoek van de pagina.
Een gastmap registreren
Als u een gastmap wilt registreren voor meerdere tenants, moet u zowel de basismap van Azure Stack Hub als de gastmap configureren.
Azure Stack Hub-map configureren
De eerste stap is om uw Azure Stack Hub-systeem bewust te maken van de gastmap. In dit voorbeeld wordt de map van het bedrijf van Mary, Adatum, adatum.onmicrosoft.com genoemd.
Meld u aan bij de Azure Stack Hub-beheerportal en ga naar Alle services - Mappen.
Selecteer Toevoegen om het onboardingproces te starten. Voer de naam van de gastmap 'adatum.onmicrosoft.com' in en selecteer vervolgens Toevoegen.
De gastmap wordt weergegeven in de lijstweergave, met de status Niet-geregistreerd.
Alleen Mary heeft de referenties om zich te verifiëren bij de gastdirectory, dus u moet haar de koppeling sturen om de registratie te voltooien. Schakel het selectievakje adatum.onmicrosoft.com in en selecteer vervolgens Registreren.
Er wordt een nieuw browsertabblad geopend. Selecteer Koppeling kopiëren onderaan de pagina en geef deze aan Mary.
Als u de referenties voor de gastmap hebt, kunt u de registratie zelf voltooien door Aanmelden te selecteren.
Gastmap configureren
Mary heeft de e-mail ontvangen met de koppeling om de directory te registreren. Ze opent de koppeling in een browser en bevestigt de Microsoft Entra-id en het Azure Resource Manager-eindpunt van uw Azure Stack Hub-systeem.
Mary meldt zich aan met behulp van haar globale beheerdersreferenties voor adatum.onmicrosoft.com.
Notitie
Zorg ervoor dat pop-upblokkeringen zijn uitgeschakeld voordat u zich aanmeldt.
Mary controleert de status van de map en ziet dat deze niet is geregistreerd.
Mary selecteert Registreren om het proces te starten.
Notitie
Vereiste objecten voor Visual Studio Code kunnen mogelijk niet worden gemaakt en moeten PowerShell gebruiken.
Nadat het registratieproces is voltooid, kan Mary alle toepassingen controleren die in de map zijn gemaakt en hun status controleren.
Mary heeft het registratieproces voltooid en kan Adatum-gebruikers met @adatum.onmicrosoft.com accounts nu naar de Azure Stack Hub-gebruikersportal sturen om zich aan te melden. Voor systemen met meerdere knooppunten is de URL van de gebruikersportal opgemaakt als
https://portal.<region>.<FQDN>. Voor een ASDK-implementatie ishttps://portal.local.azurestack.externalde URL .
Belangrijk
Het kan tot een uur duren voordat de Azure Stack-operator de mapstatus heeft bijgewerkt in de beheerportal.
Mary moet ook eventuele buitenlandse principals (gebruikers in de Adatum-directory zonder het achtervoegsel van adatum.onmicrosoft.com) om zich aan te melden met behulp van https://<user-portal-url>/adatum.onmicrosoft.com. Als ze de /adatum.onmicrosoft.com maptenant niet opgeven in de URL, worden ze verzonden naar hun standaardmap en krijgen ze een foutmelding dat de beheerder geen toestemming heeft gegeven.
Registratie van een gastmap ongedaan maken
Als u aanmeldingen bij Azure Stack Hub-services niet meer wilt toestaan vanuit een tenant van een gastmap, kunt u de registratie van de directory ongedaan maken. Ook hier moeten zowel de Azure Stack Hub-basismap als de gastmap worden geconfigureerd:
Gastmap configureren
Mary gebruikt geen services meer op Azure Stack Hub en moet de objecten verwijderen. Ze opent opnieuw de URL die ze via e-mail heeft ontvangen om de registratie van de directory ongedaan te maken. Voordat dit proces wordt gestart, verwijdert Mary alle resources uit het Azure Stack Hub-abonnement.
Mary meldt zich aan met haar globale beheerdersreferenties voor adatum.onmicrosoft.com.
Notitie
Zorg ervoor dat pop-upblokkeringen zijn uitgeschakeld voordat u zich aanmeldt.
Mary ziet de status van de map.
Mary selecteert Registratie ongedaan maken om de actie te starten.
Wanneer het proces is voltooid, wordt de status weergegeven als Niet geregistreerd:
Mary heeft de registratie van de map adatum.onmicrosoft.com ongedaan gemaakt.
Notitie
Het kan tot een uur duren voordat de map wordt weergegeven als niet geregistreerd in de Azure Stack-beheerportal.
Azure Stack Hub-map configureren
Als Azure Stack Hub-operator kunt u de gastmap op elk gewenst moment verwijderen, zelfs als Mary de registratie van de directory niet eerder heeft ongedaan gemaakt.
Meld u aan bij de Azure Stack Hub-beheerportal en ga naar Alle services - Mappen.
Schakel het selectievakje adatum.onmicrosoft.com map in en selecteer vervolgens Verwijderen.
Bevestig de verwijderactie door Ja te typen en Verwijderen te selecteren.
U hebt de map verwijderd.
Vereiste updates beheren
Azure Stack Hub-updates kunnen ondersteuning bieden voor nieuwe hulpprogramma's of services waarvoor mogelijk een update van de basis- of gastmap is vereist.
Als Azure Stack Hub-operator ontvangt u een waarschuwing in de beheerportal die u informeert over een vereiste directory-update. U kunt ook bepalen of een update vereist is voor thuis- of gastmappen door het mappenvenster in de beheerportal te bekijken. In elke lijst met mappen wordt het type map weergegeven. Het type kan een basis- of gastmap zijn en de status ervan wordt weergegeven.
De Azure Stack Hub-directory's bijwerken
Wanneer een Azure Stack Hub-directory-update vereist is, wordt de status Update vereist weergegeven. Bijvoorbeeld:
Als u de map wilt bijwerken, schakelt u het selectievakje Mapnaam in en selecteert u vervolgens Bijwerken.
De gastmap bijwerken
Een Azure Stack Hub-operator moet de eigenaar van de gastmap ook laten weten dat deze de directory moet bijwerken met behulp van de URL die wordt gedeeld voor registratie. De operator kan de URL opnieuw verzenden, maar deze verandert niet.
Mary, de eigenaar van de gastmap, opent de URL die ze via e-mail heeft ontvangen toen ze de directory registreerde:
Mary meldt zich aan met haar globale beheerdersreferenties voor adatum.onmicrosoft.com. Zorg ervoor dat pop-upblokkeringen zijn uitgeschakeld voordat u zich aanmeldt.
Mary ziet de status van de map dat er een update vereist is.
De actie Bijwerken is beschikbaar voor Mary om de gastmap bij te werken. Het kan tot een uur duren voordat de map wordt weergegeven als geregistreerd in de Azure Stack-beheerportal.
Aanvullende mogelijkheden
Een Azure Stack Hub-operator kan de abonnementen bekijken die zijn gekoppeld aan een directory. Bovendien heeft elke map een actie om de map rechtstreeks in de Azure Portal te beheren. Voor beheer moet de doelmap beheermachtigingen hebben in de Azure Portal.