Überprüfen der Azure-Identität

Verwenden Sie das Tool „Azure Stack Hub Readiness Checker“ (AzsReadinessChecker), um zu überprüfen, ob Ihre Microsoft Entra ID-Umgebung mit Azure Stack Hub verwendet werden kann. Überprüfen Sie Ihre Azure-Identitätslösung, bevor Sie mit einer Azure Stack Hub-Bereitstellung beginnen.

Bei der Überprüfung der Bereitschaft wird Folgendes geprüft:

• Microsoft Entra ID als Identitätsanbieter für Azure Stack Hub.
• Das Microsoft Entra-Konto, das Sie verwenden möchten, kann sich als Anwendungsadministrator Ihrer Microsoft Entra-ID anmelden.

Durch eine Prüfung wird sichergestellt, dass Azure Stack Hub in Ihrer Umgebung Informationen zu Benutzern, Anwendungen, Gruppen und Dienstprinzipalen aus Azure Stack Hub in Ihrer Microsoft Entra ID-Umgebung speichern kann.

Beziehen des Tools zur Bereitschaftsüberprüfung

Laden Sie die neueste Version des Azure Stack Hub Readiness Checker (AzsReadinessChecker) aus dem PowerShell-Katalog herunter.

Installieren und konfigurieren

Azure PowerShell

Voraussetzungen

Die folgenden Voraussetzungen müssen erfüllt sein:

Az PowerShell-Module

Die Az PowerShell-Module müssen installiert sein. Anleitungen finden Sie unter Installieren des PowerShell Az-Vorschaumoduls.

Microsoft Entra-Umgebung

• Identifizieren Sie das Microsoft Entra-Konto, das für Azure Stack Hub verwendet werden soll, und stellen Sie sicher, dass es sich um einen Microsoft Entra-Anwendungsadministrator handeln soll.
• Identifizieren Sie den Namen Ihres Microsoft Entra-Mandanten. Der Mandantenname muss der primäre Domänenname für Ihre Microsoft Entra ID-Umgebung sein. Beispiel: contoso.onmicrosoft.com.

Schritte zum Überprüfen der Azure-Identität

1. Öffnen Sie auf einem Computer, der die Voraussetzungen erfüllt, eine administrative PowerShell-Eingabeaufforderung, und führen Sie den folgenden Befehl zum Installieren von AzsReadinessChecker aus:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. Führen Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl aus. Ersetzen Sie den contoso.onmicrosoft.com Namen Ihres Microsoft Entra-Mandanten:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. Führen Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl aus, um die Überprüfung Ihrer Microsoft Entra ID-Umgebung zu starten. Ersetzen Sie den contoso.onmicrosoft.com Namen Ihres Microsoft Entra-Mandanten:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Wenn das Tool ausgeführt wird, überprüfen Sie die Ausgabe. Vergewissern Sie sich, dass der Status für die Installationsanforderungen OK lautet. Eine erfolgreiche Überprüfung wie etwa im folgenden Beispiel wird angezeigt:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Voraussetzungen

Die folgenden Voraussetzungen müssen erfüllt sein:

AzureRM PowerShell-Module

Die Az PowerShell-Module müssen installiert sein. Anleitungen finden Sie unter Installieren des PowerShell AzureRM-Moduls.

Auf dem Computer, auf dem das Tool ausgeführt wird, muss Folgendes installiert sein:

• Windows 10 oder Windows Server 2016 mit Internetkonnektivität
• PowerShell 5.1 oder höher Um Ihre Version zu überprüfen, führen Sie den folgenden PowerShell-Befehl aus, und überprüfen Sie dann die Hauptversion und Nebenversionen :

  $PSVersionTable.PSVersion
  

• PowerShell, konfiguriert für Azure Stack Hub.
• Die neueste Version des Tools Microsoft Azure Stack Hub Readiness Checker.

Microsoft Entra-Umgebung

• Identifizieren Sie das Microsoft Entra-Konto, das für Azure Stack Hub verwendet werden soll, und stellen Sie sicher, dass es sich um einen Microsoft Entra-Anwendungsadministrator handeln soll.
• Identifizieren Sie den Namen Ihres Microsoft Entra-Mandanten. Der Mandantenname muss der primäre Domänenname für Ihre Microsoft Entra ID-Umgebung sein. Beispiel: contoso.onmicrosoft.com.
• Bestimmen Sie die Azure-Umgebung, die Sie verwenden möchten. Unterstützte Werte für den Umgebungsnamensparameter sind je nach Ihrem verwendeten Azure-Abonnement AzureCloud, AzureChinaCloud oder AzureUSGovernment.

Schritte zum Überprüfen der Azure-Identität

1. Öffnen Sie auf einem Computer, der die Voraussetzungen erfüllt, eine administrative PowerShell-Eingabeaufforderung, und führen Sie den folgenden Befehl zum Installieren von AzsReadinessChecker aus:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. Führen Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl aus, um als Dienstadministrator für Ihren Microsoft Entra-Mandanten festzulegen $serviceAdminCredential . Ersetzen Sie serviceadmin\@contoso.onmicrosoft.com durch Ihr Konto und den Namen Ihres Mandanten:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. Führen Sie an der PowerShell-Eingabeaufforderung den folgenden Befehl aus, um die Überprüfung Ihrer Microsoft Entra-ID zu starten:

   • Geben Sie den Umgebungsnamenswert für AzureEnvironment an. Unterstützte Werte für den Umgebungsnamensparameter sind je nach Ihrem verwendeten Azure-Abonnement AzureCloud, AzureChinaCloud oder AzureUSGovernment.
   • Ersetzen Sie den contoso.onmicrosoft.com Namen Ihres Microsoft Entra-Mandanten.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Wenn das Tool ausgeführt wird, überprüfen Sie die Ausgabe. Vergewissern Sie sich, dass der Status für die Installationsanforderungen OK lautet. Eine erfolgreiche Überprüfung wie etwa im folgenden Beispiel wird angezeigt:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Berichts- und Protokolldatei

Bei jeder Ausführung einer Überprüfung werden Ergebnisse in den Dateien AzsReadinessChecker.log und AzsReadinessCheckerReport.json protokolliert. Der Speicherort dieser Dateien wird mit den Überprüfungsergebnissen in PowerShell angezeigt.

Anhand dieser Dateien können Sie den Überprüfungsstatus freigeben, bevor Sie Azure Stack Hub bereitstellen oder Probleme mit der Überprüfung untersuchen. Die Ergebnisse aller nachfolgenden Überprüfungen werden in beiden Dateien gespeichert. Der Bericht enthält die Bestätigung Ihres Bereitstellungsteams über die Identitätskonfiguration. Mithilfe der Protokolldatei kann Ihr Bereitstellungs- oder Supportteam Probleme bei der Überprüfung untersuchen.

Standardmäßig werden beide Dateien in C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json geschrieben.

• Verwenden Sie den Parameter -OutputPath <path> am Ende der Ausführungsbefehlszeile, um einen anderen Berichtsspeicherort anzugeben.
• Verwenden Sie den Parameter -CleanReport am Ende des Ausführungsbefehls, um Informationen zu früheren Ausführungen des Tools aus AzsReadinessCheckerReport.json zu löschen.

Weitere Informationen finden Sie unter Azure Stack Hub-Überprüfungsbericht.

Fehler bei der Überprüfung

Wenn bei der Überprüfung Fehler auftreten, werden Details zum Fehler im PowerShell-Fenster angezeigt. Das Tool protokolliert Informationen außerdem in der Datei AzsReadinessChecker.log.

Die folgenden Beispiele veranschaulichen, wie häufige Fehler bei der Überprüfung behoben werden.

Abgelaufenes oder temporäres Kennwort

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Ursache: Das Konto kann sich nicht anmelden, da das Kennwort entweder abgelaufen oder temporär ist.

Lösung: Führen Sie in PowerShell den folgenden Befehl aus, und befolgen Sie die Eingabeaufforderungen zum Zurücksetzen des Kennworts:

Login-AzureRMAccount

Alternativ können Sie sich beim Azure-Portal als Kontobesitzer anmelden, und der Benutzer wird gezwungen, das Kennwort zu ändern.

Unbekannter Benutzertyp

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Ursache : Das Konto kann sich nicht bei der angegebenen Microsoft Entra-ID (AADDirectoryTenantName) anmelden. In diesem Beispiel ist AzureChinaCloud für AzureEnvironment angegeben.

Lösung: Vergewissern Sie sich, dass das Konto für die angegebene Azure-Umgebung gültig ist. Führen Sie in PowerShell folgenden Befehl aus, um zu überprüfen, ob das Konto für eine bestimmte Umgebung gültig ist:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Nächste Schritte

Überprüfen der Azure-Registrierung
Anzeigen des Bereitschaftsberichts
Allgemeine Überlegungen zur Azure Stack Hub-Integration