Uw machines registreren en machtigingen toewijzen voor lokale Azure-implementatie

2025-07-07

Van toepassing op: Azure Local 2311.2 en hoger

In dit artikel wordt beschreven hoe u uw lokale Azure-machines registreert en vervolgens de vereiste machtigingen instelt om Azure Local te implementeren.

Vereisten

Voordat u begint, moet u de volgende vereisten voltooien:

Vereisten voor lokale Azure-machines

Voltooi de vereisten en voltooi de controlelijst voor implementatie voor uw omgeving.
Active Directory-omgeving voorbereiden.
Download de software en installeer het Azure Stack HCI-besturingssysteem, versie 23H2 op elke computer.

Vereisten voor Azure

Vereiste hulpbronproviders registreren. Zorg ervoor dat uw Azure-abonnement is geregistreerd bij de vereiste resourceproviders. Als u zich wilt registreren, moet u een eigenaar of bijdrager voor uw abonnement zijn. U kunt ook een beheerder vragen zich te registreren.

Voer de volgende PowerShell-opdrachten uit om u te registreren:

Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" 
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage"
Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights"

Notitie

De veronderstelling is dat de persoon die het Azure-abonnement registreert bij de resourceproviders een andere persoon is dan degene die de lokale Azure-machines registreert bij Arc.
Microsoft.Insights resourceprovider is vereist voor bewaking en logboekregistratie. Als deze RP niet is geregistreerd, mislukt het diagnostisch account en Key Vault-auditlogboek tijdens de validatie.

Maak een resourcegroep. Volg de stappen om een resourcegroep te maken waarin u uw machines wilt registreren. Noteer de naam van de resourcegroep en de bijbehorende abonnements-id.
Haal de tenant-id op. Volg de stappen in De tenant-id van uw Microsoft Entra-tenant ophalen via Azure Portal:
1. Ga in Azure Portal naar Eigenschappen van Microsoft Entra-id>.
2. Schuif omlaag naar de sectie Tenant-id en kopieer de waarde van de tenant-id om later te gebruiken.
Controleer de machtigingen. Wanneer u machines registreert als Arc-resources, moet u ervoor zorgen dat u de eigenaar van de resourcegroep bent of de volgende machtigingen hebt voor de resourcegroep waarin de machines zijn ingericht:
- Azure Connected Machine Onboarding.
- Azure Connected Machine Resource Administrator.
Volg deze stappen in Azure Portal om te controleren of u deze rollen hebt:
1. Ga naar het abonnement dat u hebt gebruikt voor de lokale Azure-implementatie.
2. Ga naar de resourcegroep waar u de computer wilt registreren.
3. Ga in het linkerdeelvenster naar Toegangsbeheer (IAM).
4. Ga in het rechterdeelvenster naar Roltoewijzingen. Controleer of u de rollen Azure Connected Machine Onboarding en Azure Connected Machine Resource Administrator toegewezen heeft.
Controleer uw Azure-beleid. Zorg voor het volgende:
- Het Azure-beleid blokkeert de installatie van extensies niet.
- Het maken van bepaalde typen resources in een resourcegroep wordt niet geblokkeerd door Azure-beleiden.
- Het Azure-beleid blokkeert de resource-implementatie niet op bepaalde locaties.

Machines registreren bij Azure Arc

Belangrijk

Voer deze stappen uit als lokale beheerder op elke lokale Azure-computer die u wilt clusteren.

Stel de parameters in. Het script heeft de volgende parameters:

Parameterwaarden	Beschrijving
`SubscriptionID`	De id van het abonnement dat wordt gebruikt om uw machines te registreren bij Azure Arc.
`TenantID`	De tenant-ID die wordt gebruikt om uw machines te registreren bij Azure Arc. Ga naar uw Microsoft Entra ID en kopieer de eigenschap tenant-ID.
`ResourceGroup`	De resourcegroep die vooraf aangemaakt is voor Arc-registratie van de machines. Er wordt een resourcegroep gemaakt als deze nog niet bestaat.
`Region`	De Azure-regio die wordt gebruikt voor registratie. Zie de ondersteunde regio's die kunnen worden gebruikt.
`AccountID`	De gebruiker die de instance registreert en implementeert.
`ProxyServer`	Optionele parameter. Proxyserveradres wanneer dit vereist is voor uitgaande connectiviteit.
`DeviceCode`	De apparaatcode die wordt weergegeven in de console op `https://microsoft.com/devicelogin` en wordt gebruikt om u aan te melden bij het apparaat.

PowerShell
Uitvoer

#Define the subscription where you want to register your machine as Arc device
$Subscription = "YourSubscriptionID"

#Define the resource group where you want to register your machine as Arc device
$RG = "YourResourceGroupName"

#Define the region to use to register your server as Arc device
#Do not use spaces or capital letters when defining region
$Region = "eastus"

#Define the tenant you will use to register your machine as Arc device
$Tenant = "YourTenantID"

#Define the proxy address if your Azure Local deployment accesses the internet via proxy
$ProxyServer = "http://proxyaddress:port"

Hier volgt een voorbeeld van de uitvoer van de parameters:

PS C:\Users\SetupUser> $Subscription = "<Subscription ID>"
PS C:\Users\SetupUser> $RG = "myashcirg"
PS C:\Users\SetupUser> $Tenant = "<Tenant ID>"
PS C:\Users\SetupUser> $Region = "eastus"
PS C:\Users\SetupUser> $ProxyServer = "<http://proxyserver:tcpPort>"

Maak verbinding met uw Azure-account en stel het abonnement in. Open een browser op de client die u gebruikt om verbinding te maken met de computer en open deze pagina: https://microsoft.com/devicelogin en voer de opgegeven code in de Azure CLI-uitvoer in om te verifiëren. Haal het toegangstoken en de account-id voor de registratie op.

PowerShell
Uitvoer

#Connect to your Azure account and Subscription
Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode

#Get the Access Token for the registration
$ARMtoken = (Get-AzAccessToken -WarningAction SilentlyContinue).Token

#Get the Account ID for the registration
$id = (Get-AzContext).Account.Id

Hier volgt een voorbeelduitvoer van het instellen van het abonnement en de verificatie:

PS C:\Users\SetupUser> Connect-AzAccount -SubscriptionId $Subscription -TenantId $Tenant -DeviceCode
WARNING: To sign in, use a web browser to open the page https://microsoft.com/devicelogin and enter the code A44KHK5B5
to authenticate.

Account               SubscriptionName      TenantId                Environment
-------               ----------------      --------                ----------- 
guspinto@contoso.com AzureStackHCI_Content  <Tenant ID>             AzureCloud

PS C:\Users\SetupUser> $ARMtoken = (Get-AzAccessToken).Token
PS C:\Users\SetupUser> $id = (Get-AzContext).Account.Id

Voer ten slotte het Arc-registratiescript uit. Het uitvoeren van het script duurt enkele minuten.

PowerShell
Uitvoer

#Invoke the registration script. Use a supported region.
Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id

Als u internet gebruikt met behulp van een proxyserver, moet u de -Proxy parameter toevoegen en de proxyserver opgeven in de indeling http://<Proxy server FQDN or IP address>:Port wanneer u het script uitvoert.

Zie Azure-vereisten voor een lijst met ondersteunde Azure-regio's.

Hier volgt een voorbeeld van een geslaagde registratie van uw machines:

PS C:\Users\Administrator> Invoke-AzStackHciArcInitialization -SubscriptionID $Subscription -ResourceGroup $RG -TenantID $Tenant -Region $Region -Cloud "AzureCloud" -ArmAccessToken $ARMtoken -AccountID $id
>>
Configuration saved to: C:\Users\ADMINI~1\AppData\Local\Temp\bootstrap.json
Triggering bootstrap on the device...
Waiting for bootstrap to complete... Current Status: InProgress
=========SNIPPED=========SNIPPED=============
Waiting for bootstrap to complete... Current Status: InProgress
Waiting for bootstrap to complete... Current Status: Succeeded
Bootstrap succeeded.

Triggering bootstrap log collection as a best effort.
Version Response                                                    
------- --------                                                    
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response
V1      Microsoft.Azure.Edge.Bootstrap.ServiceContract.Data.Response


PS C:\Users\Administrator>

Nadat het script is voltooid op alle computers, controleert u of:
1. Uw machines zijn geregistreerd bij Arc. Ga naar Azure Portal en ga vervolgens naar de resourcegroep die is gekoppeld aan de registratie. De machines worden weergegeven binnen de opgegeven resourcegroep als typeresources 'Machine - Azure Arc'.

Notitie

Zodra een lokale Azure-machine is geregistreerd bij Azure Arc, kunt u de registratie alleen ongedaan maken door het besturingssysteem opnieuw op de computer te installeren.

Vereiste machtigingen toewijzen voor implementatie

In deze sectie wordt beschreven hoe u Azure-machtigingen toewijst voor implementatie vanuit Azure Portal.

Ga in Azure Portal naar het abonnement dat wordt gebruikt om de machines te registreren. Selecteer toegangsbeheer (IAM) in het linkerdeelvenster. Selecteer in het rechterdeelvenster + Toevoegen en selecteer in de vervolgkeuzelijst de optie Roltoewijzing toevoegen.
Doorloop de tabbladen en wijs de volgende rolmachtigingen toe aan de gebruiker die het exemplaar implementeert:
- Azure Stack HCI-beheerder
- Lezer
Ga in Azure Portal naar de resourcegroep die wordt gebruikt om de machines in uw abonnement te registreren. Selecteer toegangsbeheer (IAM) in het linkerdeelvenster. Selecteer in het rechterdeelvenster + Toevoegen en selecteer in de vervolgkeuzelijst de optie Roltoewijzing toevoegen.
Doorloop de tabbladen en wijs de volgende machtigingen toe aan de gebruiker die het exemplaar implementeert:
- Key Vault Data Access Administrator: deze machtiging is vereist voor het beheren van gegevensvlakmachtigingen voor de sleutelkluis die wordt gebruikt voor implementatie.
- Key Vault Secrets Officer: deze machtiging is vereist voor het lezen en schrijven van geheimen in de sleutelkluis die wordt gebruikt voor implementatie.
- Key Vault-inzender: deze machtiging is vereist voor het maken van de sleutelkluis die wordt gebruikt voor implementatie.
- Inzender voor opslagaccount: deze machtiging is vereist voor het maken van het opslagaccount dat wordt gebruikt voor implementatie.
Ga in het rechterdeelvenster naar Roltoewijzingen. Controleer of de implementatiegebruiker alle geconfigureerde rollen heeft.
Ga in Azure Portal naar Microsoft Entra-rollen en -beheerders en wijs de rolmachtiging cloudtoepassingsbeheerder toe op tenantniveau van Microsoft Entra.

Notitie

De toestemming van de Cloudtoepassingsbeheerder is tijdelijk nodig om de service-principal te maken. Na de implementatie kan deze machtiging worden verwijderd.

Volgende stappen

Nadat u de eerste machine in uw exemplaar hebt ingesteld, bent u klaar om te implementeren met behulp van Azure Portal:

Implementeren met behulp van Azure Portal.