Validar a identidade do Azure

Utilize a ferramenta Verificador de Preparação do Azure Stack Hub (AzsReadinessChecker) para validar que o seu ID de Microsoft Entra está pronto para ser utilizado com o Azure Stack Hub. Valide a sua solução de identidade do Azure antes de iniciar uma implementação do Azure Stack Hub.

O verificador de preparação valida:

• Microsoft Entra ID como fornecedor de identidade do Azure Stack Hub.
• A conta Microsoft Entra que planeia utilizar pode iniciar sessão como administrador global do seu ID de Microsoft Entra.

A validação garante que o seu ambiente está pronto para o Azure Stack Hub armazenar informações sobre utilizadores, aplicações, grupos e principais de serviço do Azure Stack Hub no seu ID de Microsoft Entra.

Obter a ferramenta de verificação de preparação

Transfira a versão mais recente da ferramenta Verificador de Preparação do Azure Stack Hub (AzsReadinessChecker) a partir do Galeria do PowerShell.

Instalar e configurar

Az PowerShell

Pré-requisitos

São necessários os seguintes pré-requisitos:

Módulos do Az PowerShell

Terá de ter os módulos do Az PowerShell instalados. Para obter instruções, veja Instalar o módulo de pré-visualização do Az do PowerShell.

Microsoft Entra ambiente

• Identifique a conta Microsoft Entra a utilizar para o Azure Stack Hub e certifique-se de que é um Administrador Global Microsoft Entra.
• Identifique o nome do inquilino Microsoft Entra. O nome do inquilino tem de ser o nome de domínio principal do seu ID de Microsoft Entra. Por exemplo, contoso.onmicrosoft.com.

Passos para validar a identidade do Azure

1. Num computador que cumpra os pré-requisitos, abra uma linha de comandos elevada do PowerShell e, em seguida, execute o seguinte comando para instalar o AzsReadinessChecker:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. Na linha de comandos do PowerShell, execute o seguinte comando. Substitua pelo contoso.onmicrosoft.com nome do inquilino Microsoft Entra:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. Na linha de comandos do PowerShell, execute o seguinte comando para iniciar a validação do seu ID de Microsoft Entra. Substitua pelo contoso.onmicrosoft.com nome do inquilino Microsoft Entra:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Após a execução da ferramenta, reveja o resultado. Confirme que o estado está OK para os requisitos de instalação. É apresentada uma validação bem-sucedida como no exemplo seguinte:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Pré-requisitos

São necessários os seguintes pré-requisitos:

Módulos do PowerShell do AzureRM

Terá de ter os módulos do Az PowerShell instalados. Para obter instruções, veja Instalar o módulo AzureRM do PowerShell.

O computador no qual a ferramenta é executada

• Windows 10 ou Windows Server 2016 com conectividade à Internet.
• PowerShell 5.1 ou posterior. Para verificar a sua versão, execute o seguinte comando do PowerShell e, em seguida, reveja a versão Principal e as versões Secundárias :

  $PSVersionTable.PSVersion
  

• PowerShell configurado para o Azure Stack Hub.
• A versão mais recente da ferramenta Verificador de Preparação do Microsoft Azure Stack Hub .

Microsoft Entra ambiente

• Identifique a conta Microsoft Entra a utilizar para o Azure Stack Hub e certifique-se de que é um Administrador Global Microsoft Entra.
• Identifique o nome do inquilino Microsoft Entra. O nome do inquilino tem de ser o nome de domínio principal do seu ID de Microsoft Entra. Por exemplo, contoso.onmicrosoft.com.
• Identifique o ambiente do Azure que irá utilizar. Os valores suportados para o parâmetro de nome do ambiente são AzureCloud, AzureChinaCloud ou AzureUSGovernment, consoante a subscrição do Azure que utilizar.

Passos para validar a identidade do Azure

1. Num computador que cumpra os pré-requisitos, abra uma linha de comandos elevada do PowerShell e, em seguida, execute o seguinte comando para instalar o AzsReadinessChecker:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. Na linha de comandos do PowerShell, execute o seguinte comando para definir $serviceAdminCredential como administrador de serviços para o seu inquilino Microsoft Entra. Substitua pelo serviceadmin\@contoso.onmicrosoft.com nome da conta e do inquilino:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. Na linha de comandos do PowerShell, execute o seguinte comando para iniciar a validação do seu ID de Microsoft Entra:

   • Especifique o valor do nome do ambiente para AzureEnvironment. Os valores suportados para o parâmetro de nome do ambiente são AzureCloud, AzureChinaCloud ou AzureUSGovernment, consoante a subscrição do Azure que utilizar.
   • Substitua pelo contoso.onmicrosoft.com seu nome de inquilino Microsoft Entra.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Após a execução da ferramenta, reveja o resultado. Confirme que o estado está OK para os requisitos de instalação. É apresentada uma validação bem-sucedida como no exemplo seguinte:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Relatório e ficheiro de registo

Sempre que a validação é executada, regista os resultados em AzsReadinessChecker.log e AzsReadinessCheckerReport.json. A localização destes ficheiros é apresentada com os resultados da validação no PowerShell.

Estes ficheiros podem ajudá-lo a partilhar o estado de validação antes de implementar o Azure Stack Hub ou investigar problemas de validação. Ambos os ficheiros mantêm os resultados de cada verificação de validação subsequente. O relatório fornece a confirmação da configuração da identidade por parte da equipa de implementação. O ficheiro de registo pode ajudar a sua equipa de implementação ou suporte a investigar problemas de validação.

Por predefinição, ambos os ficheiros são escritos em C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

• Utilize o -OutputPath <path> parâmetro no final da linha de comandos executar para especificar uma localização de relatório diferente.
• Utilize o -CleanReport parâmetro no final do comando executar para limpar informações sobre execuções anteriores da ferramenta a partir de AzsReadinessCheckerReport.json.

Para obter mais informações, veja Relatório de validação do Azure Stack Hub.

Falhas de validação

Se uma verificação de validação falhar, os detalhes sobre a falha serão apresentados na janela do PowerShell. A ferramenta também regista informações no ficheiro AzsReadinessChecker.log.

Os exemplos seguintes fornecem orientações sobre falhas de validação comuns.

Palavra-passe expirada ou temporária

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa – a conta não consegue iniciar sessão porque a palavra-passe expirou ou é temporária.

Resolução – no PowerShell, execute o seguinte comando e, em seguida, siga as instruções para repor a palavra-passe:

Login-AzureRMAccount

Outra forma é iniciar sessão no portal do Azure como proprietário da conta e o utilizador será obrigado a alterar a palavra-passe.

Tipo de utilizador desconhecido

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa – a conta não consegue iniciar sessão no ID de Microsoft Entra especificado (AADDirectoryTenantName). Neste exemplo, a AzureChinaCloud é especificada como AzureEnvironment.

Resolução – confirme que a conta é válida para o ambiente do Azure especificado. No PowerShell, execute o seguinte comando para verificar se a conta é válida para um ambiente específico:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

A conta não é um administrador

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa – embora a conta possa iniciar sessão com êxito, a conta não é um administrador do ID de Microsoft Entra (AADDirectoryTenantName).

Resolução – inicie sessão no portal do Azure como proprietário da conta, aceda a Microsoft Entra ID, Utilizadores e, em seguida, Selecione o Utilizador. Em seguida, selecione Função de Diretório e certifique-se de que o utilizador é um Administrador global. Se a conta for um Utilizador, aceda a Microsoft Entra ID>Nomes de domínio personalizados e confirme que o nome que forneceu para AADDirectoryTenantName está marcado como o nome de domínio principal para este diretório. Neste exemplo, é contoso.onmicrosoft.com.

O Azure Stack Hub requer que o nome de domínio seja o nome de domínio principal.

Passos Seguintes

Validate Azure registration (Validar o registo do Azure)
Ver o relatório de preparação
Considerações gerais sobre a integração do Azure Stack Hub