Configurar a multilocação no Azure Stack Hub

Você pode configurar o Azure Stack Hub para dar suporte a entradas de usuários que residem em outros diretórios do Azure AD (Azure Active Directory), permitindo que eles usem serviços no Azure Stack Hub. Esses diretórios têm uma relação de "convidado" com seu diretório do Azure Stack Hub e são considerados locatários convidados do Azure AD.

Por exemplo, considere este cenário:

  • Você é o administrador de serviços do contoso.onmicrosoft.com, o locatário do Azure AD doméstico que fornece serviços de gerenciamento de identidade e acesso ao Azure Stack Hub.
  • Mary é a administradora de diretórios do adatum.onmicrosoft.com, o locatário convidado do Azure AD onde os usuários convidados estão localizados.
  • A empresa de Mary (Adatum) usa serviços IaaS e PaaS de sua empresa. O Adatum deseja permitir que os usuários do diretório convidado (adatum.onmicrosoft.com) entrem e usem recursos do Azure Stack Hub protegidos por contoso.onmicrosoft.com.

Este guia fornece as etapas necessárias, no contexto desse cenário, para habilitar ou desabilitar a multilocatário no Azure Stack Hub para um locatário de diretório convidado. Você e Mary realizam esse processo registrando ou cancelando o registro do locatário do diretório convidado, o que habilita ou desabilita as entradas do Azure Stack Hub e o consumo de serviço por usuários do Adatum.

Se você for um CSP (Provedor de Soluções na Nuvem), terá outras maneiras de configurar e gerenciar um Azure Stack Hub multilocatário.

Pré-requisitos

Antes de registrar ou cancelar o registro de um diretório convidado, você e Mary devem concluir as etapas administrativas para seus respectivos locatários do Azure AD: o diretório inicial do Azure Stack Hub (Contoso) e o diretório convidado (Adatum):

Registrar um diretório convidado

Para registrar um diretório convidado para vários locatários, você precisa configurar o diretório inicial do Azure Stack Hub e o diretório convidado.

Configurar o diretório do Azure Stack Hub

Como administrador de serviços do contoso.onmicrosoft.com, primeiro você deve integrar o locatário do diretório convidado do Adatum ao Azure Stack Hub. O script a seguir configura o Resource Manager do Azure para aceitar entradas de usuários e entidades de serviço no locatário adatum.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Configurar diretório convidado

Em seguida, Mary (administradora de diretório do Adatum) deve registrar o Azure Stack Hub com o diretório convidado adatum.onmicrosoft.com executando o seguinte script:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Importante

Se o administrador do Azure Stack Hub instalar novos serviços ou atualizações no futuro, talvez seja necessário executar esse script novamente.

Execute esse script novamente a qualquer momento para verificar o status dos aplicativos do Azure Stack Hub em seu diretório.

Se você notar problemas com a criação de VMs no Managed Disks (introduzido na atualização de 1808), um novo provedor de recursos de disco será adicionado, o que exige que esse script seja executado novamente.

Direcionar os usuários para entrada

Por fim, Mary pode direcionar usuários do Adatum com @adatum.onmicrosoft.com contas para entrar visitando o portal de usuários do Azure Stack Hub. Para sistemas multinode, a URL do portal do usuário é formatada como https://portal.<region>.<FQDN>. Para uma implantação do ASDK, a URL é https://portal.local.azurestack.external.

Mary também deve direcionar quaisquer entidades de segurança estrangeiras (usuários no diretório do Adatum sem o sufixo de adatum.onmicrosoft.com) para entrar usando https://<user-portal-url>/adatum.onmicrosoft.com. Se eles não especificarem o locatário do /adatum.onmicrosoft.com diretório na URL, eles serão enviados para o diretório padrão e receberão um erro que diz que o administrador não consentiu.

Cancelar o registro de um diretório convidado

Se você não quiser mais permitir entradas nos serviços do Azure Stack Hub de um locatário de diretório convidado, poderá cancelar o registro do diretório. Novamente, o diretório inicial do Azure Stack Hub e o diretório convidado precisam ser configurados:

  1. Como administrador do diretório convidado (Mary neste cenário), execute Unregister-AzsWithMyDirectoryTenant. O cmdlet desinstala todos os aplicativos do Azure Stack Hub do novo diretório.

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
    $tenantARMEndpoint = "https://management.local.azurestack.external"
    
    ## Replace the value below with the guest directory tenant.
    $guestDirectoryTenantName = "adatum.onmicrosoft.com"
    
    Unregister-AzsWithMyDirectoryTenant `
     -TenantResourceManagerEndpoint $tenantARMEndpoint `
     -DirectoryTenantName $guestDirectoryTenantName `
     -Verbose 
    
  2. Como administrador de serviços do Azure Stack Hub (você neste cenário), execute o Unregister-AzSGuestDirectoryTenant cmdlet:

    ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
    $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
    
    ## Replace the value below with the Azure Stack Hub directory
    $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
    
    ## Replace the value below with the guest directory tenant. 
    $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
    
    ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
    $ResourceGroupName = "system.local"
    
    Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
     -DirectoryTenantName $azureStackDirectoryTenant `
     -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
     -ResourceGroupName $ResourceGroupName
    

    Aviso

    As etapas para desabilitar a multilocação devem ser executadas na ordem. A etapa nº 1 falhará se a etapa nº 2 for concluída primeiro.

Recuperar o relatório de integridade de identidade do Azure Stack Hub

Substitua os <region><domain>espaços reservados e, em <homeDirectoryTenant> seguida, execute o cmdlet a seguir como administrador do Azure Stack Hub.


$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Atualizar permissões de locatário do Azure AD

Essa ação limpa um alerta no Azure Stack Hub, indicando que um diretório requer uma atualização. Execute o seguinte comando na pasta Azurestack-tools-master/identity:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

O script solicita credenciais administrativas no locatário do Azure AD e leva vários minutos para ser executado. O alerta é limpo depois que você executa o cmdlet.

O gerenciamento baseado em portal não tem suporte para esta versão

O gerenciamento de vários locatários usando o portal do administrador só está disponível para versões 2102 e posteriores. Selecione uma versão posterior usando o seletor na parte superior esquerda da página.

Registrar um diretório convidado

Para registrar um diretório convidado para vários locatários, você precisa configurar o diretório inicial do Azure Stack Hub e o diretório convidado.

Configurar o diretório do Azure Stack Hub

A primeira etapa é tornar seu sistema do Azure Stack Hub ciente do diretório convidado. Neste exemplo, o diretório da empresa de Mary, Adatum, é chamado de adatum.onmicrosoft.com.

  1. Entre no portal de administrador do Azure Stack Hub e acesse Todos os serviços – Diretórios.

    Screenshot that shows the list of directories.

  2. Selecione Adicionar para iniciar o processo de integração. Insira o nome do diretório convidado "adatum.onmicrosoft.com" e selecione Adicionar.

    Screenshot that shows how to add a new directory.

  3. O diretório convidado aparece no modo de exibição de lista, com um status de não registrado.

    Screenshot that shows the new guest directory with an unregistered status.

  4. Somente Mary tem as credenciais para autenticar no diretório convidado, portanto, você deve enviar o link para concluir o registro. Selecione a caixa de seleção adatum.onmicrosoft.com e selecione Registrar.

    Screenshot that shows selecting a directory to register.

  5. Uma nova guia do navegador é aberta. Selecione Copiar link na parte inferior da página e forneça-o a Mary.

  6. Se você tiver as credenciais para o diretório convidado, poderá concluir o registro por conta própria selecionando Entrar.

    Screenshot that shows selecting sign in.

Configurar diretório convidado

Mary recebeu o email com o link para registrar o diretório. Ela abre o link em um navegador e confirma o Azure Active Directory e o ponto de extremidade Resource Manager do Azure do sistema do Azure Stack Hub.

  1. Mary entra usando suas credenciais de administrador global para adatum.onmicrosoft.com.

    Observação

    Verifique se os bloqueadores pop-up estão desabilitados antes de entrar.

    Screenshot that shows signing in to manage a directory.

  2. Mary examina o status do diretório e vê que ele não está registrado.

    Screenshot that shows an unregistered directory.

  3. Mary seleciona Registrar para iniciar o processo.

    Observação

    Os objetos necessários para Visual Studio Code podem não ser capazes de ser criados e devem usar o PowerShell.

    Screenshot that shows the starting directory registration.

  4. Depois que o processo de registro for concluído, Mary poderá examinar todos os aplicativos que foram criados no diretório e verificar seu status.

    Screenshot that shows a registered directory.

  5. Mary concluiu com êxito o processo de registro e agora pode direcionar os usuários do Adatum com @adatum.onmicrosoft.com contas para entrar visitando o portal de usuários do Azure Stack Hub. Para sistemas multinode, a URL do portal do usuário é formatada como https://portal.<region>.<FQDN>. Para uma implantação do ASDK, a URL é https://portal.local.azurestack.external.

Importante

Pode levar até uma hora para que o operador do Azure Stack veja o status do diretório atualizado no portal de administração.

Mary também deve direcionar quaisquer entidades de segurança estrangeiras (usuários no diretório do Adatum sem o sufixo de adatum.onmicrosoft.com) para entrar usando https://<user-portal-url>/adatum.onmicrosoft.com. Se eles não especificarem o locatário do /adatum.onmicrosoft.com diretório na URL, eles serão enviados para o diretório padrão e receberão um erro que diz que o administrador não consentiu.

Cancelar o registro de um diretório convidado

Se você não quiser mais permitir entradas nos serviços do Azure Stack Hub de um locatário de diretório convidado, poderá cancelar o registro do diretório. Novamente, o diretório inicial do Azure Stack Hub e o diretório convidado precisam ser configurados:

Configurar diretório convidado

Mary não usa mais serviços no Azure Stack Hub e deve remover os objetos. Ela abre a URL novamente que recebeu por email para cancelar o registro do diretório. Antes de iniciar esse processo, Mary remove todos os recursos da assinatura do Azure Stack Hub.

  1. Mary entra usando suas credenciais de administrador global para adatum.onmicrosoft.com.

    Observação

    Verifique se os bloqueadores pop-up estão desabilitados antes de entrar.

    Screenshot that shows selecting Sign In.

  2. Mary vê o status do diretório.

    Screenshot that shows a registered directory.

  3. Maria seleciona Cancelar registro para iniciar a ação.

    Screenshot that shows selecing Unregister to unregister a directory.

  4. Quando o processo for concluído, o status será mostrado como Não registrado:

    Screenshot that shows a directory that has been unregistered.

    Mary cancelou o registro com sucesso do diretório adatum.onmicrosoft.com.

    Observação

    Pode levar até uma hora para mostrar o diretório como não registrado no portal de administração do Azure Stack.

Configurar o diretório do Azure Stack Hub

Como operador do Azure Stack Hub, você pode remover o diretório convidado a qualquer momento, mesmo que Mary não tenha cancelado anteriormente o diretório.

  1. Entre no portal de administrador do Azure Stack Hub e acesse Todos os serviços – Diretórios.

    Screenshot that shows all directories.

  2. Selecione a caixa de seleção adatum.onmicrosoft.com diretório e selecione Remover.

    Screenshot that shows selecting Remove for a directory.

  3. Confirme a ação de exclusão digitando sim e selecionando Remover.

    Screenshot that shows how to remove a directory.

    Você removeu com êxito o diretório.

Gerenciando as atualizações necessárias

As atualizações do Azure Stack Hub podem introduzir suporte para novas ferramentas ou serviços que podem exigir uma atualização do diretório inicial ou convidado.

Como operador do Azure Stack Hub, você recebe um alerta no portal de administração que informa sobre uma atualização de diretório necessária. Você também pode determinar se uma atualização é necessária para diretórios domésticos ou convidados exibindo o painel diretórios no portal de administração. Cada listagem de diretório mostra o tipo de diretório. O tipo pode ser um diretório de casa ou convidado e seu status é mostrado.

Atualizar os diretórios do Azure Stack Hub

Quando uma atualização de diretório do Azure Stack Hub é necessária, um status da Atualização Necessária é mostrado. Por exemplo:

Screenshot that shows a directory requiring an update.

Para atualizar o diretório, selecione a caixa de seleção Nome do Diretório e selecione Atualizar.

Atualizar o diretório convidado

Um operador do Azure Stack Hub também deve informar ao proprietário do diretório convidado que ele precisa atualizar seu diretório usando a URL compartilhada para registro. O operador pode reenviar a URL, mas não muda.

Mary, a dona do diretório convidado, abre a URL que recebeu por e-mail quando registrou o diretório:

  1. Mary entra usando suas credenciais de administrador global para adatum.onmicrosoft.com. Verifique se os bloqueadores pop-up estão desabilitados antes de entrar.

    Screenshot that shows selecting Sign In.

  2. Mary vê o status do diretório dizendo que uma atualização é necessária.

  3. A ação Atualizar está disponível para Mary atualizar o diretório convidado. Pode levar até uma hora para mostrar o diretório como registrado no portal de administração do Azure Stack.

Funcionalidades adicionais

Um operador do Azure Stack Hub pode exibir as assinaturas associadas a um diretório. Além disso, cada diretório tem uma ação para gerenciar o diretório diretamente no portal do Azure. Para gerenciar, o diretório de destino deve ter permissões de gerenciamento no portal do Azure.

Próximas etapas