Konfigurowanie wielu dzierżaw w usłudze Azure Stack Hub
Usługę Azure Stack Hub można skonfigurować tak, aby obsługiwała logowania użytkowników znajdujących się w innych katalogach Microsoft Entra, umożliwiając im korzystanie z usług w usłudze Azure Stack Hub. Te katalogi mają relację "gościa" z katalogiem usługi Azure Stack Hub i są traktowane jako dzierżawy Microsoft Entra gościa.
Rozważmy na przykład ten scenariusz:
- Jesteś administratorem usługi contoso.onmicrosoft.com, głównej dzierżawy Microsoft Entra, która zapewnia usługi zarządzania tożsamościami i dostępem do usługi Azure Stack Hub.
- Mary jest administratorem katalogu adatum.onmicrosoft.com, dzierżawą Microsoft Entra gościa, w której znajdują się użytkownicy-goście.
- Firma Mary 's (Adatum) korzysta z usług IaaS i PaaS firmy. Adatum chce zezwolić użytkownikom z katalogu gościa (adatum.onmicrosoft.com) na logowanie się i używanie zasobów usługi Azure Stack Hub zabezpieczonych przez contoso.onmicrosoft.com.
Ten przewodnik zawiera kroki wymagane w kontekście tego scenariusza w celu włączenia lub wyłączenia wielu dzierżaw w usłudze Azure Stack Hub dla dzierżawy katalogu gościa. Ty i Mary wykonasz ten proces, rejestrując lub wyrejestrując dzierżawę katalogu gościa, która włącza lub wyłącza logowania i użycie usług w usłudze Azure Stack Hub przez użytkowników usługi Adatum.
Jeśli jesteś dostawcą rozwiązań w chmurze (CSP), możesz skonfigurować wielodostępną usługę Azure Stack Hub i zarządzać nią.
Wymagania wstępne
Przed zarejestrowaniem lub wyrejestrowywaniem katalogu gościa ty i Mary musisz wykonać kroki administracyjne dla odpowiednich dzierżaw Microsoft Entra: katalogu macierzystego usługi Azure Stack Hub (Contoso) i katalogu gościa (Adatum):
Instalowanie i konfigurowanie programu PowerShell dla usługi Azure Stack Hub.
Pobierz narzędzia usługi Azure Stack Hub, a następnie zaimportuj moduły Connect and Identity:
Import-Module .\Identity\AzureStack.Identity.psm1
Rejestrowanie katalogu gościa
Aby zarejestrować katalog gościa na potrzeby wielu dzierżaw, należy skonfigurować zarówno główny katalog usługi Azure Stack Hub, jak i katalog gościa.
Konfigurowanie katalogu usługi Azure Stack Hub
Jako administrator usługi contoso.onmicrosoft.com musisz najpierw dołączyć dzierżawę katalogu gościa Adatum do usługi Azure Stack Hub. Poniższy skrypt konfiguruje usługę Azure Resource Manager tak, aby akceptowała logowania użytkowników i jednostek usługi w dzierżawie adatum.onmicrosoft.com:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"
## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"
## Replace the value below with the region location of the resource group.
$location = "local"
# Subscription Name
$SubscriptionName = "Default Provider Subscription"
Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
-DirectoryTenantName $azureStackDirectoryTenant `
-GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
-Location $location `
-ResourceGroupName $ResourceGroupName `
-SubscriptionName $SubscriptionName
Konfigurowanie katalogu gościa
Następnie Mary (administrator katalogu Adatum) musi zarejestrować usługę Azure Stack Hub w katalogu gościa adatum.onmicrosoft.com, uruchamiając następujący skrypt:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"
Register-AzSWithMyDirectoryTenant `
-TenantResourceManagerEndpoint $tenantARMEndpoint `
-DirectoryTenantName $guestDirectoryTenantName `
-Verbose
Ważne
Jeśli administrator usługi Azure Stack Hub zainstaluje nowe usługi lub aktualizacje w przyszłości, może być konieczne ponowne uruchomienie tego skryptu.
Uruchom ten skrypt ponownie w dowolnym momencie, aby sprawdzić stan aplikacji usługi Azure Stack Hub w katalogu.
Jeśli zauważysz problemy z tworzeniem maszyn wirtualnych w Dyski zarządzane (wprowadzone w aktualizacji 1808), dodano nowego dostawcę zasobów dysku, co wymaga ponownego uruchomienia tego skryptu.
Kierowanie użytkowników do logowania
Na koniec Mary może skierować użytkowników aplikacji Adatum przy @adatum.onmicrosoft.com użyciu kont, aby się zalogować, odwiedzając portal użytkowników usługi Azure Stack Hub. W przypadku systemów wielowężowych adres URL portalu użytkowników jest sformatowany jako https://portal.<region>.<FQDN>. W przypadku wdrożenia zestawu ASDK adres URL to https://portal.local.azurestack.external.
Mary musi również skierować wszystkich podmiotów zagranicznych (użytkowników w katalogu Adatum bez sufiksu adatum.onmicrosoft.com), aby zalogować się przy użyciu .https://<user-portal-url>/adatum.onmicrosoft.com Jeśli dzierżawa katalogu nie zostanie określona /adatum.onmicrosoft.com w adresie URL, zostanie wysłana do katalogu domyślnego i zostanie wyświetlony komunikat o błędzie informujący, że administrator nie wyraził zgody.
Wyrejestrowywanie katalogu gościa
Jeśli nie chcesz już zezwalać na logowanie do usług Azure Stack Hub z dzierżawy katalogu gościa, możesz wyrejestrować katalog. Ponownie należy skonfigurować zarówno główny katalog usługi Azure Stack Hub, jak i katalog gościa:
Jako administrator katalogu gościa (Mary w tym scenariuszu) uruchom polecenie
Unregister-AzsWithMyDirectoryTenant. Polecenie cmdlet odinstalowuje wszystkie aplikacje usługi Azure Stack Hub z nowego katalogu.## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>. $tenantARMEndpoint = "https://management.local.azurestack.external" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantName = "adatum.onmicrosoft.com" Unregister-AzsWithMyDirectoryTenant ` -TenantResourceManagerEndpoint $tenantARMEndpoint ` -DirectoryTenantName $guestDirectoryTenantName ` -VerboseJako administrator usługi Azure Stack Hub (w tym scenariuszu
Unregister-AzSGuestDirectoryTenant) uruchom polecenie cmdlet:## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>. $adminARMEndpoint = "https://adminmanagement.local.azurestack.external" ## Replace the value below with the Azure Stack Hub directory $azureStackDirectoryTenant = "contoso.onmicrosoft.com" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com" ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist). $ResourceGroupName = "system.local" Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint ` -DirectoryTenantName $azureStackDirectoryTenant ` -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned ` -ResourceGroupName $ResourceGroupNameOstrzeżenie
Kroki wyłączania wielu dzierżaw należy wykonać w kolejności. Krok 1 kończy się niepowodzeniem, jeśli krok 2 został ukończony jako pierwszy.
Pobieranie raportu kondycji tożsamości usługi Azure Stack Hub
Zastąp <region>symbole zastępcze , <domain>i <homeDirectoryTenant> , a następnie wykonaj następujące polecenie cmdlet jako administrator usługi Azure Stack Hub.
$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft
Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft
Aktualizowanie uprawnień dzierżawy Microsoft Entra
Ta akcja powoduje wyczyszczenie alertu w usłudze Azure Stack Hub, co oznacza, że katalog wymaga aktualizacji. Uruchom następujące polecenie z folderu Azurestack-tools-master/identity :
Import-Module ..\Identity\AzureStack.Identity.psm1
$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"
Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
-DirectoryTenantName $homeDirectoryTenantName -Verbose
Skrypt monituje o poświadczenia administracyjne w dzierżawie Microsoft Entra i trwa kilka minut. Alert jest czyszczy po uruchomieniu polecenia cmdlet.
Zarządzanie oparte na portalu nie jest obsługiwane w tej wersji
Zarządzanie wieloma dzierżawami przy użyciu portalu administratora jest dostępne tylko w wersjach 2102 i nowszych. Wybierz nowszą wersję przy użyciu selektora w lewej górnej części strony.
Rejestrowanie katalogu gościa
Aby zarejestrować katalog gościa na potrzeby wielu dzierżaw, należy skonfigurować zarówno główny katalog usługi Azure Stack Hub, jak i katalog gościa.
Konfigurowanie katalogu usługi Azure Stack Hub
Pierwszym krokiem jest uświadomienie systemowi usługi Azure Stack Hub katalogu gościa. W tym przykładzie katalog firmy Mary's, Adatum, nosi nazwę adatum.onmicrosoft.com.
Zaloguj się do portalu administratora usługi Azure Stack Hub i przejdź do pozycji Wszystkie usługi — katalogi.
Wybierz pozycję Dodaj , aby rozpocząć proces dołączania. Wprowadź nazwę katalogu gościa "adatum.onmicrosoft.com", a następnie wybierz pozycję Dodaj.
Katalog gościa zostanie wyświetlony w widoku listy ze stanem niezarejestrowanym.
Tylko Mary ma poświadczenia do uwierzytelniania w katalogu gościa, więc musisz wysłać jej link, aby ukończyć rejestrację. Zaznacz pole wyboru adatum.onmicrosoft.com , a następnie wybierz pozycję Zarejestruj.
Zostanie otwarta nowa karta przeglądarki. Wybierz pozycję Kopiuj link w dolnej części strony i podaj ją Mary.
Jeśli masz poświadczenia dla katalogu gościa, możesz ukończyć rejestrację samodzielnie, wybierając pozycję Zaloguj.
Konfigurowanie katalogu gościa
Mary otrzymała wiadomość e-mail z linkiem do zarejestrowania katalogu. Otwiera link w przeglądarce i potwierdza identyfikator Microsoft Entra oraz punkt końcowy usługi Azure Resource Manager systemu Azure Stack Hub.
Mary loguje się przy użyciu poświadczeń administratora globalnego dla adatum.onmicrosoft.com.
Uwaga
Przed zalogowaniem się upewnij się, że blokady wyskakujących okienek są wyłączone.
Mary przegląda stan katalogu i widzi, że nie jest zarejestrowany.
Mary wybiera pozycję Zarejestruj , aby rozpocząć proces.
Uwaga
Wymagane obiekty dla Visual Studio Code mogą nie być możliwe do utworzenia i muszą używać programu PowerShell.
Po zakończeniu procesu rejestracji Mary może przejrzeć wszystkie aplikacje utworzone w katalogu i sprawdzić ich stan.
Mary pomyślnie ukończyła proces rejestracji i może teraz kierować użytkowników usługi Adatum przy @adatum.onmicrosoft.com użyciu kont do logowania się, odwiedzając portal użytkowników usługi Azure Stack Hub. W przypadku systemów wielowężowych adres URL portalu użytkowników jest sformatowany jako
https://portal.<region>.<FQDN>. W przypadku wdrożenia zestawu ASDK adres URL tohttps://portal.local.azurestack.external.
Ważne
Zaktualizowanie stanu katalogu w portalu administracyjnym może potrwać do godziny.
Mary musi również skierować wszystkich podmiotów zagranicznych (użytkowników w katalogu Adatum bez sufiksu adatum.onmicrosoft.com), aby zalogować się przy użyciu .https://<user-portal-url>/adatum.onmicrosoft.com Jeśli dzierżawa katalogu nie zostanie określona /adatum.onmicrosoft.com w adresie URL, zostanie wysłana do katalogu domyślnego i zostanie wyświetlony komunikat o błędzie informujący, że administrator nie wyraził zgody.
Wyrejestrowywanie katalogu gościa
Jeśli nie chcesz już zezwalać na logowanie do usług Azure Stack Hub z dzierżawy katalogu gościa, możesz wyrejestrować katalog. Ponownie należy skonfigurować zarówno główny katalog usługi Azure Stack Hub, jak i katalog gościa:
Konfigurowanie katalogu gościa
Mary nie korzysta już z usług w usłudze Azure Stack Hub i musi usunąć obiekty. Ponownie otwiera adres URL, który otrzymał za pośrednictwem poczty e-mail, aby wyrejestrować katalog. Przed rozpoczęciem tego procesu Mary usuwa wszystkie zasoby z subskrypcji usługi Azure Stack Hub.
Mary loguje się przy użyciu poświadczeń administratora globalnego dla adatum.onmicrosoft.com.
Uwaga
Przed zalogowaniem się upewnij się, że blokady wyskakujących okienek są wyłączone.
Mary widzi stan katalogu.
Mary wybiera wyrejestrowanie , aby rozpocząć akcję.
Po zakończeniu procesu stan jest wyświetlany jako Niezarejestrowany:
Mary pomyślnie wyrejestrowała katalog adatum.onmicrosoft.com.
Uwaga
Wyświetlenie katalogu w portalu administracyjnym usługi Azure Stack może potrwać do jednej godziny.
Konfigurowanie katalogu usługi Azure Stack Hub
Jako operator usługi Azure Stack Hub możesz usunąć katalog gościa w dowolnym momencie, nawet jeśli mary nie wyrejestrowała wcześniej katalogu.
Zaloguj się do portalu administratora usługi Azure Stack Hub i przejdź do pozycji Wszystkie usługi — katalogi.
Zaznacz pole wyboru katalogu adatum.onmicrosoft.com , a następnie wybierz pozycję Usuń.
Potwierdź akcję usuwania, wpisując tak i wybierając pozycję Usuń.
Pomyślnie usunięto katalog.
Zarządzanie wymaganymi aktualizacjami
Aktualizacje usługi Azure Stack Hub mogą wprowadzać obsługę nowych narzędzi lub usług, które mogą wymagać aktualizacji katalogu macierzystego lub gościa.
Jako operator usługi Azure Stack Hub otrzymasz alert w portalu administracyjnym, który informuje o wymaganej aktualizacji katalogu. Można również określić, czy aktualizacja jest wymagana dla katalogów domowych lub gości, wyświetlając okienko katalogów w portalu administracyjnym. Każda lista katalogów zawiera typ katalogu. Typ może być katalogiem głównym lub gościem, a jego stan jest wyświetlany.
Aktualizowanie katalogów usługi Azure Stack Hub
Gdy wymagana jest aktualizacja katalogu usługi Azure Stack Hub, zostanie wyświetlony stan Wymagane aktualizacji . Na przykład:
Aby zaktualizować katalog, zaznacz pole wyboru Nazwa katalogu , a następnie wybierz pozycję Aktualizuj.
Aktualizowanie katalogu gościa
Operator usługi Azure Stack Hub powinien również poinformować właściciela katalogu gościa o konieczności zaktualizowania katalogu przy użyciu adresu URL udostępnionego do rejestracji. Operator może ponownie wysłać adres URL, ale nie zmienia się.
Mary, właściciel katalogu gościa, otwiera adres URL otrzymany za pośrednictwem poczty e-mail, gdy zarejestrowała katalog:
Mary loguje się przy użyciu poświadczeń administratora globalnego dla adatum.onmicrosoft.com. Przed zalogowaniem się upewnij się, że blokady wyskakujących okienek są wyłączone.
Mary widzi stan katalogu, mówiąc, że wymagana jest aktualizacja.
Akcja Aktualizuj jest dostępna dla Mary, aby zaktualizować katalog gościa. Wyświetlenie katalogu zgodnie z rejestracją w portalu administracyjnym usługi Azure Stack może potrwać do jednej godziny.
Dodatkowe możliwości
Operator usługi Azure Stack Hub może wyświetlać subskrypcje skojarzone z katalogiem. Ponadto każdy katalog ma akcję zarządzania katalogiem bezpośrednio w Azure Portal. Aby zarządzać, katalog docelowy musi mieć uprawnienia do zarządzania w Azure Portal.