Configurar a multilocação no Azure Stack Hub

Você pode configurar o Azure Stack Hub para dar suporte a entradas de usuários que residem em outros diretórios Microsoft Entra, permitindo que eles usem serviços no Azure Stack Hub. Esses diretórios têm uma relação de "convidado" com o diretório do Azure Stack Hub e são considerados locatários Microsoft Entra convidados.

Por exemplo, considere este cenário:

• Você é o administrador de serviços do contoso.onmicrosoft.com, o locatário de Microsoft Entra inicial que fornece serviços de gerenciamento de identidade e acesso ao Azure Stack Hub.
• Mary é a administradora de diretórios do adatum.onmicrosoft.com, o locatário Microsoft Entra convidado em que os usuários convidados estão localizados.
• A empresa de Mary (Adatum) usa serviços de IaaS e PaaS de sua empresa. O Adatum deseja permitir que os usuários do diretório convidado (adatum.onmicrosoft.com) entrem e usem recursos do Azure Stack Hub protegidos por contoso.onmicrosoft.com.

Este guia fornece as etapas necessárias, no contexto desse cenário, para habilitar ou desabilitar a multilocação no Azure Stack Hub para um locatário de diretório convidado. Você e Mary realizam esse processo registrando ou cancelando o registro do locatário do diretório convidado, o que habilita ou desabilita as entradas e o consumo de serviço do Azure Stack Hub por usuários do Adatum.

Se você for um CSP (Provedor de Soluções na Nuvem), terá outras maneiras de configurar e gerenciar um Azure Stack Hub multilocatário.

Pré-requisitos

Antes de registrar ou cancelar o registro de um diretório convidado, você e Mary devem concluir as etapas administrativas para seus respectivos locatários Microsoft Entra: o diretório base do Azure Stack Hub (Contoso) e o diretório convidado (Adatum):

• Instale e configure o PowerShell para o Azure Stack Hub.

• Baixe as Ferramentas do Azure Stack Hub e importe os módulos Conectar e Identidade:

  Import-Module .\Identity\AzureStack.Identity.psm1
  

Registrar um diretório convidado

Para registrar um diretório convidado para multilocação, você precisa configurar o diretório inicial do Azure Stack Hub e o diretório convidado.

Configurar o diretório do Azure Stack Hub

Como administrador de serviços do contoso.onmicrosoft.com, primeiro você deve integrar o locatário do diretório convidado do Adatum ao Azure Stack Hub. O script a seguir configura a Resource Manager do Azure para aceitar entradas de usuários e entidades de serviço no locatário adatum.onmicrosoft.com:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"

## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"

## Replace the value below with the guest directory tenant. 
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"

## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"

## Replace the value below with the region location of the resource group.
$location = "local"

# Subscription Name
$SubscriptionName = "Default Provider Subscription"

Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
 -DirectoryTenantName $azureStackDirectoryTenant `
 -GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
 -Location $location `
 -ResourceGroupName $ResourceGroupName `
 -SubscriptionName $SubscriptionName

Configurar o diretório convidado

Em seguida, Mary (administradora de diretório do Adatum) deve registrar o Azure Stack Hub com o diretório convidado adatum.onmicrosoft.com executando o seguinte script:

## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"

## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"

Register-AzSWithMyDirectoryTenant `
 -TenantResourceManagerEndpoint $tenantARMEndpoint `
 -DirectoryTenantName $guestDirectoryTenantName `
 -Verbose

Importante

Se o administrador do Azure Stack Hub instalar novos serviços ou atualizações no futuro, talvez seja necessário executar esse script novamente.

Execute esse script novamente a qualquer momento para marcar o status dos aplicativos do Azure Stack Hub em seu diretório.

Se você notar problemas com a criação de VMs no Managed Disks (introduzido na atualização 1808), um novo provedor de recursos de disco foi adicionado, o que exige que esse script seja executado novamente.

Direcionar os usuários para entrada

Por fim, Mary pode direcionar os usuários do Adatum com @adatum.onmicrosoft.com contas para entrar visitando o portal do usuário do Azure Stack Hub. Para sistemas de vários nós, a URL do portal do usuário é formatada como https://portal.<region>.<FQDN>. Para uma implantação do ASDK, a URL é https://portal.local.azurestack.external.

Mary também deve direcionar quaisquer entidades estrangeiras (usuários no diretório Adatum sem o sufixo de adatum.onmicrosoft.com) para entrar usando https://<user-portal-url>/adatum.onmicrosoft.com. Se eles não especificarem o locatário do /adatum.onmicrosoft.com diretório na URL, eles serão enviados para o diretório padrão e receberão um erro informando que o administrador não consentiu.

Cancelar o registro de um diretório convidado

Se você não quiser mais permitir entradas nos serviços do Azure Stack Hub de um locatário de diretório convidado, cancele o registro do diretório. Novamente, o diretório inicial do Azure Stack Hub e o diretório convidado precisam ser configurados:

1. Como administrador do diretório convidado (Mary neste cenário), execute Unregister-AzsWithMyDirectoryTenant. O cmdlet desinstala todos os aplicativos do Azure Stack Hub do novo diretório.

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
   $tenantARMEndpoint = "https://management.local.azurestack.external"
   
   ## Replace the value below with the guest directory tenant.
   $guestDirectoryTenantName = "adatum.onmicrosoft.com"
   
   Unregister-AzsWithMyDirectoryTenant `
    -TenantResourceManagerEndpoint $tenantARMEndpoint `
    -DirectoryTenantName $guestDirectoryTenantName `
    -Verbose 
   

2. Como administrador de serviços do Azure Stack Hub (neste cenário), execute o Unregister-AzSGuestDirectoryTenant cmdlet :

   ## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
   $adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
   
   ## Replace the value below with the Azure Stack Hub directory
   $azureStackDirectoryTenant = "contoso.onmicrosoft.com"
   
   ## Replace the value below with the guest directory tenant. 
   $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com"
   
   ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist).
   $ResourceGroupName = "system.local"
   
   Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
    -DirectoryTenantName $azureStackDirectoryTenant `
    -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned `
    -ResourceGroupName $ResourceGroupName
   

   Aviso

   As etapas para desabilitar a multilocação devem ser executadas na ordem. A etapa nº 1 falhará se a etapa nº 2 for concluída primeiro.

Recuperar o relatório de integridade de identidade do Azure Stack Hub

Substitua os <region>espaços reservados , <domain>e e <homeDirectoryTenant> , em seguida, execute o cmdlet a seguir como o administrador do Azure Stack Hub.

$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft


Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft

Atualizar Microsoft Entra permissões de locatário

Essa ação limpa um alerta no Azure Stack Hub, indicando que um diretório requer uma atualização. Execute o seguinte comando na pasta Azurestack-tools-master/identity:

Import-Module ..\Identity\AzureStack.Identity.psm1

$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"

# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"

Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
   -DirectoryTenantName $homeDirectoryTenantName -Verbose

O script solicita credenciais administrativas no locatário Microsoft Entra e leva vários minutos para ser executado. O alerta é limpo depois que você executa o cmdlet .

Registrar um diretório convidado

Para registrar um diretório convidado para multilocação, você precisa configurar o diretório inicial do Azure Stack Hub e o diretório convidado.

Configurar o diretório do Azure Stack Hub

A primeira etapa é tornar o sistema do Azure Stack Hub ciente do diretório convidado. Neste exemplo, o diretório da empresa de Mary, Adatum, é chamado de adatum.onmicrosoft.com.

1. Entre no portal do administrador do Azure Stack Hub e acesse Todos os serviços – Diretórios.

   

2. Selecione Adicionar para iniciar o processo de integração. Insira o nome do diretório convidado "adatum.onmicrosoft.com" e selecione Adicionar.

   

3. O diretório convidado aparece no modo de exibição de lista, com um status de não registrado.

   

4. Somente Maria tem as credenciais para autenticar no diretório convidado, portanto, você deve enviar a ela o link para concluir o registro. Marque a caixa de seleção adatum.onmicrosoft.com e, em seguida, selecione Registrar.

   

5. Uma nova guia do navegador é aberta. Selecione Copiar link na parte inferior da página e forneça-o a Maria.

6. Se você tiver as credenciais para o diretório convidado, poderá concluir o registro por conta própria selecionando Entrar.

   

Configurar o diretório convidado

Maria recebeu o email com o link para registrar o diretório. Ela abre o link em um navegador e confirma a ID do Microsoft Entra e o ponto de extremidade do Azure Resource Manager do sistema do Azure Stack Hub.

1. Mary entra usando suas credenciais de administrador global para adatum.onmicrosoft.com.

   Observação

   Verifique se os bloqueadores pop-up estão desabilitados antes de entrar.

   

2. Maria revisa o status do diretório e vê que ele não está registrado.

   

3. Maria seleciona Registrar para iniciar o processo.

   Observação

   Objetos necessários para Visual Studio Code podem não ser capazes de ser criados e devem usar o PowerShell.

   

4. Depois que o processo de registro for concluído, Maria poderá examinar todos os aplicativos que foram criados no diretório e marcar seus status.

   

5. Mary concluiu com êxito o processo de registro e agora pode direcionar os usuários do Adatum com @adatum.onmicrosoft.com contas para entrar visitando o portal do usuário do Azure Stack Hub. Para sistemas de vários nós, a URL do portal do usuário é formatada como https://portal.<region>.<FQDN>. Para uma implantação do ASDK, a URL é https://portal.local.azurestack.external.

Importante

Pode levar até uma hora para que o operador do Azure Stack veja o diretório status atualizado no portal de administração.

Mary também deve direcionar quaisquer entidades estrangeiras (usuários no diretório Adatum sem o sufixo de adatum.onmicrosoft.com) para entrar usando https://<user-portal-url>/adatum.onmicrosoft.com. Se eles não especificarem o locatário do /adatum.onmicrosoft.com diretório na URL, eles serão enviados para o diretório padrão e receberão um erro informando que o administrador não consentiu.

Cancelar o registro de um diretório convidado

Se você não quiser mais permitir entradas nos serviços do Azure Stack Hub de um locatário de diretório convidado, cancele o registro do diretório. Novamente, o diretório inicial do Azure Stack Hub e o diretório convidado precisam ser configurados:

Configurar o diretório convidado

Mary não usa mais serviços no Azure Stack Hub e deve remover os objetos. Ela abre a URL novamente que recebeu por email para cancelar o registro do diretório. Antes de iniciar esse processo, Mary remove todos os recursos da assinatura do Azure Stack Hub.

1. Mary entra usando suas credenciais de administrador global para adatum.onmicrosoft.com.

   Observação

   Verifique se os bloqueadores pop-up estão desabilitados antes de entrar.

   

2. Maria vê a status do diretório.

   

3. Maria seleciona Cancelar registro para iniciar a ação.

   

4. Quando o processo for concluído, o status será mostrado como Não registrado:

   

   Mary cancelou o registro do diretório com êxito adatum.onmicrosoft.com.

   Observação

   Pode levar até uma hora para mostrar o diretório como não registrado no portal de administração do Azure Stack.

Configurar o diretório do Azure Stack Hub

Como operador do Azure Stack Hub, você pode remover o diretório convidado a qualquer momento, mesmo que Mary não tenha cancelado anteriormente o diretório.

1. Entre no portal do administrador do Azure Stack Hub e acesse Todos os serviços – Diretórios.

   

2. Marque a caixa de seleção adatum.onmicrosoft.com diretório e selecione Remover.

   

3. Confirme a ação de exclusão digitando sim e selecionando Remover.

   

   Você removeu com êxito o diretório.

Gerenciando as atualizações necessárias

As atualizações do Azure Stack Hub podem introduzir suporte para novas ferramentas ou serviços que podem exigir uma atualização do diretório inicial ou convidado.

Como operador do Azure Stack Hub, você recebe um alerta no portal de administração que informa sobre uma atualização de diretório necessária. Você também pode determinar se uma atualização é necessária para diretórios domésticos ou convidados exibindo o painel diretórios no portal de administração. Cada listagem de diretório mostra o tipo de diretório. O tipo pode ser um diretório inicial ou convidado e sua status é mostrada.

Atualizar os diretórios do Azure Stack Hub

Quando uma atualização de diretório do Azure Stack Hub é necessária, uma status de Atualização Necessária é mostrada. Por exemplo:

Para atualizar o diretório, marque a caixa de seleção Nome do diretório e selecione Atualizar.

Atualizar o diretório convidado

Um operador do Azure Stack Hub também deve informar ao proprietário do diretório convidado que ele precisa atualizar seu diretório usando a URL compartilhada para registro. O operador pode reenviar a URL, mas não é alterada.

Mary, a proprietária do diretório convidado, abre a URL que recebeu por email quando registrou o diretório:

1. Mary entra usando suas credenciais de administrador global para adatum.onmicrosoft.com. Verifique se os bloqueadores pop-up estão desabilitados antes de entrar.

   

2. Mary vê a status do diretório dizendo que uma atualização é necessária.

3. A ação Atualizar está disponível para Mary atualizar o diretório convidado. Pode levar até uma hora para mostrar o diretório conforme registrado no portal de administração do Azure Stack.

Funcionalidades adicionais

Um operador do Azure Stack Hub pode exibir as assinaturas associadas a um diretório. Além disso, cada diretório tem uma ação para gerenciar o diretório diretamente no portal do Azure. Para gerenciar, o diretório de destino deve ter permissões de gerenciamento no portal do Azure.

Próximas etapas

• Gerenciar provedores delegados
• Principais conceitos do Azure Stack Hub
• Gerenciar o uso e a cobrança do Azure Stack Hub como provedor de soluções de nuvem
• Adicionar locatário para uso e cobrança ao Azure Stack Hub