Valider l’identité Azure

Utilisez l’outil Azure Stack Hub Readiness Checker (AzsReadinessChecker) pour vérifier que votre instance Microsoft Entra ID peut être utilisée avec Azure Stack Hub. Validez votre solution d’identité Azure avant de commencer un déploiement Azure Stack Hub.

L’outil Readiness Checker valide ce qui suit :

• Microsoft Entra ID en tant que fournisseur d’identité pour Azure Stack Hub.
• Le compte Microsoft Entra que vous envisagez d’utiliser peut se connecter en tant qu’administrateur d’application de votre ID Microsoft Entra.

La validation garantit que votre environnement est prêt pour qu’Azure Stack Hub stocke des informations sur les utilisateurs, les applications, les groupes et les principaux de service d’Azure Stack Hub dans votre instance Microsoft Entra ID.

Obtenir l’outil Readiness Checker

Téléchargez la dernière version de l’outil Azure Stack Hub Readiness Checker (AzsReadinessChecker) à partir de PowerShell Gallery.

Installer et configurer

Az PowerShell

Prérequis

Les prérequis suivants sont obligatoires :

Modules Az PowerShell

Les modules Az PowerShell doivent être installés. Pour obtenir des instructions, consultez Installer le module en préversion Az PowerShell.

Environnement Microsoft Entra

• Identifiez le compte Microsoft Entra à utiliser pour Azure Stack Hub et assurez-vous qu’il s’agit d’un administrateur d’application Microsoft Entra.
• Identifiez le nom de votre locataire Microsoft Entra. Le nom du locataire doit être celui du domaine principal de votre instance Microsoft Entra ID. Par exemple, contoso.onmicrosoft.com.

Étapes de validation de l’identité Azure

1. Sur un ordinateur qui répond aux prérequis, ouvrez une invite de commande PowerShell avec privilège élevé, puis exécutez la commande suivante pour installer AzsReadinessChecker :

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. À partir de l’invite PowerShell, exécutez la commande suivante. Remplacez contoso.onmicrosoft.com par le nom de votre locataire Microsoft Entra :

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. Depuis l’invite PowerShell, exécutez la commande suivante pour démarrer la validation de votre instance Microsoft Entra ID. Remplacez contoso.onmicrosoft.com par le nom de votre locataire Microsoft Entra :

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Au terme de l’exécution de l’outil, passez en revue la sortie. Vérifiez que l’état est OK pour les conditions d’installation. Une validation réussie génère une image semblable à la suivante :

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Prérequis

Les prérequis suivants sont obligatoires :

Modules AzureRM PowerShell

Les modules Az PowerShell doivent être installés. Pour obtenir des instructions, consultez Installer le module AzureRM PowerShell.

Ordinateur sur lequel l’outil est exécuté

• Windows 10 ou Windows Server 2016, avec connectivité à Internet.
• PowerShell 5.1 ou ultérieur. Pour vérifier votre version, exécutez la commande PowerShell suivante, puis passez en revue la version principale et les versions mineures :

  $PSVersionTable.PSVersion
  

• PowerShell configuré pour Azure Stack Hub.
• Dernière version de l’outil Microsoft Azure Stack Hub Readiness Checker.

Environnement Microsoft Entra

• Identifiez le compte Microsoft Entra à utiliser pour Azure Stack Hub et assurez-vous qu’il s’agit d’un administrateur d’application Microsoft Entra.
• Identifiez le nom de votre locataire Microsoft Entra. Le nom du locataire doit être celui du domaine principal de votre instance Microsoft Entra ID. Par exemple, contoso.onmicrosoft.com.
• Identifiez l’environnement Azure que vous allez utiliser. Les valeurs prises en charge pour le paramètre du nom d’environnement sont AzureCloud, AzureChinaCloud ou AzureUSGovernment selon l’abonnement Azure que vous utilisez.

Étapes de validation de l’identité Azure

1. Sur un ordinateur qui répond aux prérequis, ouvrez une invite de commande PowerShell avec privilège élevé, puis exécutez la commande suivante pour installer AzsReadinessChecker :

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. À partir de l’invite PowerShell, exécutez la commande suivante pour définir $serviceAdminCredential en tant qu’administrateur de service pour votre locataire Microsoft Entra. Remplacez serviceadmin\@contoso.onmicrosoft.com par votre compte et le nom de votre locataire :

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. À partir de l’invite PowerShell, exécutez la commande suivante pour démarrer la validation de votre ID Microsoft Entra :

   • Spécifiez la valeur du nom d’environnement pour AzureEnvironment. Les valeurs prises en charge pour le paramètre du nom d’environnement sont AzureCloud, AzureChinaCloud ou AzureUSGovernment selon l’abonnement Azure que vous utilisez.
   • Remplacez contoso.onmicrosoft.com par le nom de votre locataire Microsoft Entra.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Au terme de l’exécution de l’outil, passez en revue la sortie. Vérifiez que l’état est OK pour les conditions d’installation. Une validation réussie génère une image semblable à la suivante :

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Rapport et fichier journal

Chaque fois qu’une validation s’exécute, les résultats sont journalisés dans AzsReadinessChecker.log et AzsReadinessCheckerReport.json. L’emplacement de ces fichiers est indiqué avec les résultats de la validation dans PowerShell.

Ces fichiers peuvent vous aider à partager l’état de validation avant de déployer Azure Stack Hub ou à examiner les problèmes de validation. Les deux fichiers conservent les résultats des vérifications de validation postérieures. Le rapport fournit à votre équipe de déploiement la confirmation de la configuration de l’identité. Le fichier journal peut aider l’équipe de déploiement ou de support à enquêter sur les problèmes de validation.

Par défaut, les deux fichiers sont écrits dans C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

• Utilisez le paramètre -OutputPath <path> situé à la fin de la ligne de commande d’exécution pour spécifier un emplacement de rapport différent.
• Utilisez le paramètre -CleanReport à la fin de la ligne de commande d’exécution pour effacer les informations sur les exécutions précédentes de l’outil du fichier AzsReadinessCheckerReport.json.

Pour plus d’informations, consultez Rapport de validation Azure Stack Hub.

Échec de validation

En cas d’échec de vérification de la validation, des détails sont fournis dans la fenêtre PowerShell. L’outil journalise également des informations dans le fichier AzsReadinessChecker.log.

Les exemples suivants donnent des conseils sur la façon de résoudre les échecs de validation courants.

Mot de passe temporaire ou ayant expiré

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Cause : Le compte ne peut pas se connecter parce que le mot de passe est temporaire ou a expiré.

Résolution : Dans PowerShell, exécutez la commande suivante, puis suivez les invites pour réinitialiser le mot de passe :

Login-AzureRMAccount

Vous pouvez également vous connecter au portail Azure en tant que propriétaire du compte. Ainsi, l’utilisateur sera obligé de changer de mot de passe.

Type d’utilisateur inconnu

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Cause : le compte ne peut pas se connecter à l’ID Microsoft Entra spécifié (AADDirectoryTenantName). Dans cet exemple, AzureChinaCloud est spécifié comme AzureEnvironment.

Résolution : Vérifiez que le compte est valide pour l’environnement Azure spécifié. Dans PowerShell, exécutez la commande suivante pour vérifier que le compte est valide pour un environnement spécifique :

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Étapes suivantes

Valider l’inscription auprès d’Azure
Afficher le rapport de préparation
Considérations générales relatives à l’intégration d’Azure Stack Hub