Compartilhar via


Validar a identidade do Azure

Use a ferramenta verificador de preparação do Azure Stack Hub (AzsReadinessChecker) para validar se sua ID de Microsoft Entra está pronta para uso com o Azure Stack Hub. Valide sua solução de identidade do Azure antes de iniciar uma implantação do Azure Stack Hub.

O verificador de preparação valida:

  • Microsoft Entra ID como um provedor de identidade para o Azure Stack Hub.
  • A conta Microsoft Entra que você planeja usar pode entrar como administrador global de sua ID de Microsoft Entra.

A validação garante que seu ambiente esteja pronto para que o Azure Stack Hub armazene informações sobre usuários, aplicativos, grupos e entidades de serviço do Azure Stack Hub em sua ID de Microsoft Entra.

Obter a ferramenta de verificador de preparação

Baixe a versão mais recente da ferramenta Verificador de Prontidão (AzsReadinessChecker) do Azure Stack Hub na Galeria do PowerShell.

Instalar e configurar

Pré-requisitos

Os seguintes pré-requisitos são necessários:

Módulos do Az PowerShell

Você precisará ter os módulos AZ PowerShell instalados. Para obter instruções, consulte Instalar o módulo de versão prévia do Az do PowerShell.

Ambiente Microsoft Entra

  • Identifique a conta Microsoft Entra a ser usada para o Azure Stack Hub e verifique se ela é uma Microsoft Entra Administrador Global.
  • Identifique o nome do locatário Microsoft Entra. O nome do locatário deve ser o nome de domínio primário para sua ID de Microsoft Entra. Por exemplo, contoso.onmicrosoft.com.

Etapas para validar a identidade do Azure

  1. Em um computador que atenda aos pré-requisitos, abra um prompt de comando elevado do PowerShell e execute o seguinte comando para instalar o AzsReadinessChecker:

    Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
    Install-AzProfile -Profile 2020-09-01-hybrid -Force
    Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
    
  2. No prompt do PowerShell, execute o comando a seguir. Substitua pelo contoso.onmicrosoft.com nome do locatário Microsoft Entra:

    Connect-AzAccount -tenant contoso.onmicrosoft.com
    
  3. No prompt do PowerShell, execute o comando a seguir para iniciar a validação da ID do Microsoft Entra. Substitua pelo contoso.onmicrosoft.com nome do locatário Microsoft Entra:

    Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
    
  4. Depois que a ferramenta for executado, revise a saída. Confirme se o status dos requisitos de instalação está OK. Uma validação bem-sucedida é exibida como o exemplo a seguir:

    Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
    Starting Azure Identity Validation
    
    Checking Installation Requirements: OK
    
    Finished Azure Identity Validation
    
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
    Invoke-AzsAzureIdentityValidation Completed
    

Relatório e arquivo de log

Cada vez que a validação é executada, ela registra os resultados em AzsReadinessChecker.log e AzsReadinessCheckerReport.json. O local desses arquivos é exibido com os resultados da validação no PowerShell.

Esses arquivos podem ajudar você a compartilhar o status de validação antes de implantar o Azure Stack Hub ou a investigar problemas de validação. Os dois arquivos persistem os resultados de cada verificação de validação subsequente. O relatório fornece a confirmação da configuração de identidade à sua equipe de implantação. O arquivo de log pode ajudar na implantação ou a equipe de suporte a investigar problemas de validação.

Por padrão, ambos os arquivos são gravados em C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

  • Use o parâmetro -OutputPath <path> no final da linha de comando de execução para especificar um local de relatório diferente.
  • Use o parâmetro -CleanReport no final do comando de execução para limpar as informações sobre as execuções anteriores da ferramenta em AzsReadinessCheckerReport.json.

Para obter mais informações, consulte Relatório de validação do Azure Stack Hub.

Falhas de validação

Se um marcar de validação falhar, os detalhes sobre a falha serão exibidos na janela do PowerShell. A ferramenta também registra informações no arquivo AzsReadinessChecker.log.

Os exemplos a seguir fornecem diretrizes sobre falhas comuns de validação.

Senha expirada ou temporária

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa – a conta não pode entrar porque a senha está expirada ou temporária.

Resolução – no PowerShell, execute o seguinte comando e siga os prompts para redefinir a senha:

Login-AzureRMAccount

Outra maneira é entrar no portal do Azure como o proprietário da conta e o usuário será forçado a alterar a senha.

Tipo de usuário desconhecido

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa – a conta não pode entrar na ID de Microsoft Entra especificada (AADDirectoryTenantName). Neste exemplo, AzureChinaCloud é especificado como AzureEnvironment.

Resolução – confirme se a conta é válida para o ambiente do Azure especificado. No PowerShell, execute o seguinte comando para verificar se a conta é válida para um ambiente específico:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

A conta não é um administrador

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa – embora a conta possa entrar com êxito, a conta não é um administrador da ID de Microsoft Entra (AADDirectoryTenantName).

Resolução – entre no portal do Azure como o proprietário da conta, vá para Microsoft Entra ID e, em seguida, Usuários e Selecione o Usuário. Em seguida, selecione Função de Diretório e verifique se o usuário é um Administrador global. Se a conta for um Usuário, acesse Microsoft Entra ID>Nomes de domínio personalizados e confirme se o nome fornecido para AADDirectoryTenantName está marcado como o nome de domínio primário para esse diretório. Neste exemplo, isso é contoso.onmicrosoft.com.

O Azure Stack Hub requer que o nome de domínio seja o nome de domínio primário.

Próximas etapas

Validar o registro do Azure
Exibir o relatório de preparação
Considerações gerais de integração do Azure Stack Hub