Weryfikowanie tożsamości platformy Azure
Użyj narzędzia do sprawdzania gotowości usługi Azure Stack Hub (AzsReadinessChecker), aby sprawdzić, czy identyfikator Microsoft Entra jest gotowy do użycia z usługą Azure Stack Hub. Przed rozpoczęciem wdrażania usługi Azure Stack Hub zweryfikuj rozwiązanie tożsamości platformy Azure.
Kontroler gotowości sprawdza poprawność:
- Microsoft Entra identyfikator jako dostawca tożsamości dla usługi Azure Stack Hub.
- Konto Microsoft Entra, którego zamierzasz użyć, może zalogować się jako administrator globalny identyfikatora Microsoft Entra.
Walidacja zapewnia, że środowisko jest gotowe do przechowywania informacji o użytkownikach, aplikacjach, grupach i jednostkach usługi z usługi Azure Stack Hub w identyfikatorze Microsoft Entra.
Pobieranie narzędzia do sprawdzania gotowości
Pobierz najnowszą wersję narzędzia do sprawdzania gotowości usługi Azure Stack Hub (AzsReadinessChecker) z Galeria programu PowerShell.
Instalowanie i konfigurowanie
Wymagania wstępne
Wymagane są następujące wymagania wstępne:
Moduły Az programu PowerShell
Konieczne będzie zainstalowanie modułów Az programu PowerShell. Aby uzyskać instrukcje, zobacz Instalowanie modułu Az programu PowerShell w wersji zapoznawczej.
środowisko Microsoft Entra
- Zidentyfikuj konto Microsoft Entra do użycia dla usługi Azure Stack Hub i upewnij się, że jest to administrator globalny Microsoft Entra.
- Zidentyfikuj nazwę dzierżawy Microsoft Entra. Nazwa dzierżawy musi być nazwą domeny podstawowej dla twojego identyfikatora Microsoft Entra. Na przykład contoso.onmicrosoft.com.
Kroki weryfikacji tożsamości platformy Azure
Na komputerze, który spełnia wymagania wstępne, otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie, aby zainstalować narzędzie AzsReadinessChecker:
Install-Module -Name Az.BootStrapper -Force -AllowPrerelease Install-AzProfile -Profile 2020-09-01-hybrid -Force Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
W wierszu polecenia programu PowerShell uruchom następujące polecenie. Zastąp
contoso.onmicrosoft.com
ciąg nazwą dzierżawy Microsoft Entra:Connect-AzAccount -tenant contoso.onmicrosoft.com
W wierszu polecenia programu PowerShell uruchom następujące polecenie, aby rozpocząć walidację identyfikatora Microsoft Entra. Zastąp
contoso.onmicrosoft.com
ciąg nazwą dzierżawy Microsoft Entra:Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com
Po uruchomieniu narzędzia przejrzyj dane wyjściowe. Upewnij się, że stan ma wartość OK dla wymagań dotyczących instalacji. Pomyślna walidacja wygląda podobnie do następującego przykładu:
Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started. Starting Azure Identity Validation Checking Installation Requirements: OK Finished Azure Identity Validation Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json Invoke-AzsAzureIdentityValidation Completed
Plik raportu i dziennika
Przy każdym uruchomieniu walidacji rejestruje wyniki w plikach AzsReadinessChecker.log i AzsReadinessCheckerReport.json. Lokalizacja tych plików jest wyświetlana z wynikami weryfikacji w programie PowerShell.
Te pliki mogą ułatwić udostępnianie stanu weryfikacji przed wdrożeniem usługi Azure Stack Hub lub badaniem problemów z walidacją. Oba pliki utrwalają wyniki każdego kolejnego sprawdzania poprawności. Raport zawiera potwierdzenie konfiguracji tożsamości przez zespół wdrożeniowy. Plik dziennika może pomóc zespołowi wdrożeniowemu lub zespołowi pomocy technicznej w zbadaniu problemów z walidacją.
Domyślnie oba pliki są zapisywane w pliku C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
.
- Użyj parametru
-OutputPath <path>
na końcu wiersza polecenia uruchamiania, aby określić inną lokalizację raportu. - Użyj parametru
-CleanReport
na końcu polecenia run, aby wyczyścić informacje o poprzednich uruchomieniach narzędzia z pliku AzsReadinessCheckerReport.json.
Aby uzyskać więcej informacji, zobacz Raport weryfikacji usługi Azure Stack Hub.
Błędy walidacji
Jeśli sprawdzanie poprawności nie powiedzie się, szczegółowe informacje o niepowodzeniu są wyświetlane w oknie programu PowerShell. Narzędzie rejestruje również informacje w pliku AzsReadinessChecker.log.
Poniższe przykłady zawierają wskazówki dotyczące typowych błędów walidacji.
Wygasłe lub tymczasowe hasło
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Przyczyna — konto nie może się zalogować, ponieważ hasło wygasło lub było tymczasowe.
Rozwiązanie — w programie PowerShell uruchom następujące polecenie, a następnie postępuj zgodnie z monitami, aby zresetować hasło:
Login-AzureRMAccount
Innym sposobem jest zalogowanie się do Azure Portal jako właściciel konta, a użytkownik zostanie zmuszony do zmiany hasła.
Nieznany typ użytkownika
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Przyczyna — konto nie może zalogować się do określonego identyfikatora Microsoft Entra (AADDirectoryTenantName). W tym przykładzie usługa AzureChinaCloud jest określana jako AzureEnvironment.
Rozwiązanie — upewnij się, że konto jest prawidłowe dla określonego środowiska platformy Azure. W programie PowerShell uruchom następujące polecenie, aby sprawdzić, czy konto jest prawidłowe dla określonego środowiska:
Login-AzureRmAccount -EnvironmentName AzureChinaCloud
Konto nie jest administratorem
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Przyczyna — chociaż konto może pomyślnie się zalogować, konto nie jest administratorem identyfikatora Microsoft Entra (AADDirectoryTenantName).
Rozwiązanie — zaloguj się do Azure Portal jako właściciel konta, przejdź do Microsoft Entra identyfikatora, a następnie pozycję Użytkownicy, a następnie wybierz użytkownika. Następnie wybierz pozycję Rola katalogu i upewnij się, że użytkownik jest administrator globalny. Jeśli konto jest użytkownikiem, przejdź do Microsoft Entra identyfikator>niestandardowych nazw domen i upewnij się, że nazwa podana dla AADDirectoryTenantName jest oznaczona jako nazwa domeny podstawowej dla tego katalogu. W tym przykładzie jest to contoso.onmicrosoft.com.
Usługa Azure Stack Hub wymaga, aby nazwa domeny jest podstawową nazwą domeny.
Następne kroki
Validate Azure registration (Sprawdzanie poprawności rejestracji na platformie Azure)
Wyświetlanie raportu gotowości
Ogólne zagadnienia dotyczące integracji z usługą Azure Stack Hub