Udostępnij za pośrednictwem


Weryfikowanie tożsamości platformy Azure

Użyj narzędzia do sprawdzania gotowości usługi Azure Stack Hub (AzsReadinessChecker), aby sprawdzić, czy identyfikator Microsoft Entra jest gotowy do użycia z usługą Azure Stack Hub. Przed rozpoczęciem wdrażania usługi Azure Stack Hub zweryfikuj rozwiązanie tożsamości platformy Azure.

Kontroler gotowości sprawdza poprawność:

  • Microsoft Entra identyfikator jako dostawca tożsamości dla usługi Azure Stack Hub.
  • Konto Microsoft Entra, którego zamierzasz użyć, może zalogować się jako administrator globalny identyfikatora Microsoft Entra.

Walidacja zapewnia, że środowisko jest gotowe do przechowywania informacji o użytkownikach, aplikacjach, grupach i jednostkach usługi z usługi Azure Stack Hub w identyfikatorze Microsoft Entra.

Pobieranie narzędzia do sprawdzania gotowości

Pobierz najnowszą wersję narzędzia do sprawdzania gotowości usługi Azure Stack Hub (AzsReadinessChecker) z Galeria programu PowerShell.

Instalowanie i konfigurowanie

Wymagania wstępne

Wymagane są następujące wymagania wstępne:

Moduły Az programu PowerShell

Konieczne będzie zainstalowanie modułów Az programu PowerShell. Aby uzyskać instrukcje, zobacz Instalowanie modułu Az programu PowerShell w wersji zapoznawczej.

środowisko Microsoft Entra

  • Zidentyfikuj konto Microsoft Entra do użycia dla usługi Azure Stack Hub i upewnij się, że jest to administrator globalny Microsoft Entra.
  • Zidentyfikuj nazwę dzierżawy Microsoft Entra. Nazwa dzierżawy musi być nazwą domeny podstawowej dla twojego identyfikatora Microsoft Entra. Na przykład contoso.onmicrosoft.com.

Kroki weryfikacji tożsamości platformy Azure

  1. Na komputerze, który spełnia wymagania wstępne, otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie, aby zainstalować narzędzie AzsReadinessChecker:

    Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
    Install-AzProfile -Profile 2020-09-01-hybrid -Force
    Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
    
  2. W wierszu polecenia programu PowerShell uruchom następujące polecenie. Zastąp contoso.onmicrosoft.com ciąg nazwą dzierżawy Microsoft Entra:

    Connect-AzAccount -tenant contoso.onmicrosoft.com
    
  3. W wierszu polecenia programu PowerShell uruchom następujące polecenie, aby rozpocząć walidację identyfikatora Microsoft Entra. Zastąp contoso.onmicrosoft.com ciąg nazwą dzierżawy Microsoft Entra:

    Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
    
  4. Po uruchomieniu narzędzia przejrzyj dane wyjściowe. Upewnij się, że stan ma wartość OK dla wymagań dotyczących instalacji. Pomyślna walidacja wygląda podobnie do następującego przykładu:

    Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
    Starting Azure Identity Validation
    
    Checking Installation Requirements: OK
    
    Finished Azure Identity Validation
    
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
    Invoke-AzsAzureIdentityValidation Completed
    

Plik raportu i dziennika

Przy każdym uruchomieniu walidacji rejestruje wyniki w plikach AzsReadinessChecker.log i AzsReadinessCheckerReport.json. Lokalizacja tych plików jest wyświetlana z wynikami weryfikacji w programie PowerShell.

Te pliki mogą ułatwić udostępnianie stanu weryfikacji przed wdrożeniem usługi Azure Stack Hub lub badaniem problemów z walidacją. Oba pliki utrwalają wyniki każdego kolejnego sprawdzania poprawności. Raport zawiera potwierdzenie konfiguracji tożsamości przez zespół wdrożeniowy. Plik dziennika może pomóc zespołowi wdrożeniowemu lub zespołowi pomocy technicznej w zbadaniu problemów z walidacją.

Domyślnie oba pliki są zapisywane w pliku C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

  • Użyj parametru -OutputPath <path> na końcu wiersza polecenia uruchamiania, aby określić inną lokalizację raportu.
  • Użyj parametru -CleanReport na końcu polecenia run, aby wyczyścić informacje o poprzednich uruchomieniach narzędzia z pliku AzsReadinessCheckerReport.json.

Aby uzyskać więcej informacji, zobacz Raport weryfikacji usługi Azure Stack Hub.

Błędy walidacji

Jeśli sprawdzanie poprawności nie powiedzie się, szczegółowe informacje o niepowodzeniu są wyświetlane w oknie programu PowerShell. Narzędzie rejestruje również informacje w pliku AzsReadinessChecker.log.

Poniższe przykłady zawierają wskazówki dotyczące typowych błędów walidacji.

Wygasłe lub tymczasowe hasło

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Przyczyna — konto nie może się zalogować, ponieważ hasło wygasło lub było tymczasowe.

Rozwiązanie — w programie PowerShell uruchom następujące polecenie, a następnie postępuj zgodnie z monitami, aby zresetować hasło:

Login-AzureRMAccount

Innym sposobem jest zalogowanie się do Azure Portal jako właściciel konta, a użytkownik zostanie zmuszony do zmiany hasła.

Nieznany typ użytkownika

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Przyczyna — konto nie może zalogować się do określonego identyfikatora Microsoft Entra (AADDirectoryTenantName). W tym przykładzie usługa AzureChinaCloud jest określana jako AzureEnvironment.

Rozwiązanie — upewnij się, że konto jest prawidłowe dla określonego środowiska platformy Azure. W programie PowerShell uruchom następujące polecenie, aby sprawdzić, czy konto jest prawidłowe dla określonego środowiska:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Konto nie jest administratorem

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Przyczyna — chociaż konto może pomyślnie się zalogować, konto nie jest administratorem identyfikatora Microsoft Entra (AADDirectoryTenantName).

Rozwiązanie — zaloguj się do Azure Portal jako właściciel konta, przejdź do Microsoft Entra identyfikatora, a następnie pozycję Użytkownicy, a następnie wybierz użytkownika. Następnie wybierz pozycję Rola katalogu i upewnij się, że użytkownik jest administrator globalny. Jeśli konto jest użytkownikiem, przejdź do Microsoft Entra identyfikator>niestandardowych nazw domen i upewnij się, że nazwa podana dla AADDirectoryTenantName jest oznaczona jako nazwa domeny podstawowej dla tego katalogu. W tym przykładzie jest to contoso.onmicrosoft.com.

Usługa Azure Stack Hub wymaga, aby nazwa domeny jest podstawową nazwą domeny.

Następne kroki

Validate Azure registration (Sprawdzanie poprawności rejestracji na platformie Azure)
Wyświetlanie raportu gotowości
Ogólne zagadnienia dotyczące integracji z usługą Azure Stack Hub