Ověření identity Azure

Pomocí nástroje Azure Stack Hub Readiness Checker (AzsReadinessChecker) ověřte, že vaše ID Microsoft Entra je připravené k použití se službou Azure Stack Hub. Než začnete s nasazením služby Azure Stack Hub, ověřte své řešení identit Azure.

Kontrola připravenosti ověří:

• Microsoft Entra ID jako zprostředkovatel identity pro Azure Stack Hub.
• Účet Microsoft Entra, který plánujete použít, se může přihlásit jako správce aplikace vašeho ID Microsoft Entra.

Ověření zajišťuje, že vaše prostředí je připravené pro Službu Azure Stack Hub k ukládání informací o uživatelích, aplikacích, skupinách a instančních objektech ze služby Azure Stack Hub ve vašem ID Microsoft Entra.

Získání nástroje pro kontrolu připravenosti

Stáhněte si nejnovější verzi nástroje Azure Stack Hub Readiness Checker (AzsReadinessChecker) z Galerie prostředí PowerShell.

Instalace a konfigurace

Az PowerShell

Požadavky

Jsou vyžadovány následující požadavky:

Moduly Az PowerShellu

Budete muset mít nainstalované moduly Az PowerShellu. Pokyny najdete v tématu Instalace modulu Az Preview PowerShellu.

Prostředí Microsoft Entra

• Identifikujte účet Microsoft Entra, který se má použít pro službu Azure Stack Hub, a ujistěte se, že je to správce aplikací Microsoft Entra.
• Identifikujte název tenanta Microsoft Entra. Název tenanta musí být primárním názvem domény vašeho ID Microsoft Entra. Například contoso.onmicrosoft.com.

Postup ověření identity Azure

1. Na počítači, který splňuje požadavky, otevřete příkazový řádek PowerShellu se zvýšenými oprávněními a spuštěním následujícího příkazu nainstalujte AzsReadinessChecker:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. Na příkazovém řádku PowerShellu spusťte následující příkaz. Nahraďte contoso.onmicrosoft.com názvem vašeho tenanta Microsoft Entra:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. Na příkazovém řádku PowerShellu spusťte následující příkaz, který spustí ověření vašeho ID Microsoft Entra. Nahraďte contoso.onmicrosoft.com názvem vašeho tenanta Microsoft Entra:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Po spuštění nástroje zkontrolujte výstup. Ověřte, že stav je v pořádku pro požadavky na instalaci. Úspěšné ověření se zobrazí jako v následujícím příkladu:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Požadavky

Jsou vyžadovány následující požadavky:

Moduly AzureRM PowerShellu

Budete muset mít nainstalované moduly Az PowerShellu. Pokyny najdete v tématu Instalace modulu AzureRM PowerShellu.

Počítač, na kterém nástroj běží

• Windows 10 nebo Windows Server 2016 s připojením k internetu
• PowerShell 5.1 nebo novější Pokud chcete zkontrolovat verzi, spusťte následující příkaz PowerShellu a zkontrolujte hlavní verzi a podverze :

  $PSVersionTable.PSVersion
  

• PowerShell je nakonfigurovaný pro Azure Stack Hub.
• Nejnovější verze nástroje Microsoft Azure Stack Hub Readiness Checker

Prostředí Microsoft Entra

• Identifikujte účet Microsoft Entra, který se má použít pro službu Azure Stack Hub, a ujistěte se, že je to správce aplikací Microsoft Entra.
• Identifikujte název tenanta Microsoft Entra. Název tenanta musí být primárním názvem domény vašeho ID Microsoft Entra. Například contoso.onmicrosoft.com.
• Identifikujte prostředí Azure, které budete používat. Podporované hodnoty parametru názvu prostředí jsou AzureCloud, AzureChinaCloud nebo AzureUSGovernment v závislosti na tom, které předplatné Azure používáte.

Postup ověření identity Azure

1. Na počítači, který splňuje požadavky, otevřete příkazový řádek PowerShellu se zvýšenými oprávněními a spuštěním následujícího příkazu nainstalujte AzsReadinessChecker:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. Z příkazového řádku PowerShellu spusťte následující příkaz, který nastaví $serviceAdminCredential jako správce služby pro vašeho tenanta Microsoft Entra. Nahraďte serviceadmin\@contoso.onmicrosoft.com názvem vašeho účtu a tenanta:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. Na příkazovém řádku PowerShellu spusťte následující příkaz, který spustí ověření vašeho ID Microsoft Entra:

   • Zadejte hodnotu názvu prostředí pro AzureEnvironment. Podporované hodnoty parametru názvu prostředí jsou AzureCloud, AzureChinaCloud nebo AzureUSGovernment v závislosti na tom, které předplatné Azure používáte.
   • Nahraďte contoso.onmicrosoft.com názvem vašeho tenanta Microsoft Entra.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Po spuštění nástroje zkontrolujte výstup. Ověřte, že stav je v pořádku pro požadavky na instalaci. Úspěšné ověření se zobrazí jako v následujícím příkladu:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Sestava a soubor protokolu

Pokaždé, když se ověřování spustí, zaznamená výsledky do AzsReadinessChecker.log a AzsReadinessCheckerReport.json. Umístění těchto souborů se zobrazí s výsledky ověření v PowerShellu.

Tyto soubory vám můžou pomoct sdílet stav ověření před nasazením služby Azure Stack Hub nebo zkoumáním problémů s ověřováním. Oba soubory uchovávají výsledky každé následné kontroly ověření. Sestava poskytuje týmu nasazení potvrzení konfigurace identity. Soubor protokolu může pomoct vašemu nasazení nebo týmu podpory prozkoumat problémy s ověřováním.

Ve výchozím nastavení jsou oba soubory zapsány do C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

• -OutputPath <path> Pomocí parametru na konci příkazového řádku spuštění zadejte jiné umístění sestavy.
• -CleanReport Pomocí parametru na konci příkazu run vymažte informace o předchozích spuštěních nástroje z AzsReadinessCheckerReport.json.

Další informace najdete v sestavě ověřování služby Azure Stack Hub.

Selhání ověřování

Pokud se kontrola ověření nezdaří, podrobnosti o selhání se zobrazí v okně PowerShellu. Nástroj také protokoluje informace do souboru AzsReadinessChecker.log.

Následující příklady obsahují pokyny k běžným chybám ověřování.

Platnost vypršela nebo dočasné heslo

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Příčina – Účet se nemůže přihlásit, protože platnost hesla vypršela nebo je dočasná.

Řešení – V PowerShellu spusťte následující příkaz a pak podle pokynů resetujte heslo:

Login-AzureRMAccount

Dalším způsobem je přihlásit se k webu Azure Portal jako vlastník účtu a uživatel bude nucen změnit heslo.

Neznámý typ uživatele

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Příčina – Účet se nemůže přihlásit k zadanému ID Microsoft Entra (AADDirectoryTenantName). V tomto příkladu se AzureChinaCloud zadává jako AzureEnvironment.

Řešení – Ověřte, že je účet platný pro zadané prostředí Azure. V PowerShellu spusťte následující příkaz, který ověří platnost účtu pro konkrétní prostředí:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Další kroky

Ověření registrace v Azure
Zobrazení sestavy připravenosti
Obecné aspekty integrace služby Azure Stack Hub