Azure-identiteit valideren

Gebruik het hulpprogramma Gereedheidscontrole van Azure Stack Hub (AzsReadinessChecker) om te controleren of uw Microsoft Entra-id gereed is voor gebruik met Azure Stack Hub. Valideer uw Azure-identiteitsoplossing voordat u begint met een Azure Stack Hub-implementatie.

De gereedheidscontrole valideert:

• Microsoft Entra-id als id-provider voor Azure Stack Hub.
• Het Microsoft Entra-account dat u wilt gebruiken, kan zich aanmelden als toepassingsbeheerder van uw Microsoft Entra-id.

Validatie zorgt ervoor dat uw omgeving gereed is voor Azure Stack Hub om informatie over gebruikers, toepassingen, groepen en service-principals van Azure Stack Hub op te slaan in uw Microsoft Entra-id.

Het hulpprogramma gereedheidscontrole ophalen

Download de nieuwste versie van het hulpprogramma Azure Stack Hub Readiness Checker (AzsReadinessChecker) uit de PowerShell Gallery.

Installeren en configureren

Az PowerShell

Vereisten

De volgende vereisten zijn vereist:

Az PowerShell-modules

U moet de Az PowerShell-modules hebben geïnstalleerd. Zie PowerShell Az preview-module installeren voor instructies.

Microsoft Entra-omgeving

• Identificeer het Microsoft Entra-account dat moet worden gebruikt voor Azure Stack Hub en zorg ervoor dat het een Microsoft Entra-toepassingsbeheerder is.
• Identificeer de naam van uw Microsoft Entra-tenant. De tenantnaam moet de primaire domeinnaam zijn voor uw Microsoft Entra-id. Bijvoorbeeld contoso.onmicrosoft.com.

Stappen voor het valideren van Azure-identiteit

1. Open op een computer die voldoet aan de vereisten een PowerShell-opdrachtprompt met verhoogde bevoegdheid en voer vervolgens de volgende opdracht uit om AzsReadinessChecker te installeren:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. Voer vanaf de PowerShell-prompt de volgende opdracht uit. Vervang door contoso.onmicrosoft.com de naam van uw Microsoft Entra-tenant:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. Voer vanaf de PowerShell-prompt de volgende opdracht uit om de validatie van uw Microsoft Entra-id te starten. Vervang door contoso.onmicrosoft.com de naam van uw Microsoft Entra-tenant:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Nadat het hulpprogramma is uitgevoerd, controleert u de uitvoer. Controleer of de status in orde is voor installatievereisten. Er wordt een geslaagde validatie weergegeven zoals in het volgende voorbeeld:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Vereisten

De volgende vereisten zijn vereist:

AzureRM PowerShell-modules

U moet de Az PowerShell-modules hebben geïnstalleerd. Zie PowerShell AzureRM-module installeren voor instructies.

De computer waarop het hulpprogramma wordt uitgevoerd

• Windows 10 of Windows Server 2016 met internetverbinding.
• PowerShell 5.1 of hoger. Als u uw versie wilt controleren, voert u de volgende PowerShell-opdracht uit en controleert u vervolgens de primaire versie en secundaire versies:

  $PSVersionTable.PSVersion
  

• PowerShell geconfigureerd voor Azure Stack Hub.
• De nieuwste versie van het hulpprogramma Gereedheidscontrole van Microsoft Azure Stack Hub.

Microsoft Entra-omgeving

• Identificeer het Microsoft Entra-account dat moet worden gebruikt voor Azure Stack Hub en zorg ervoor dat het een Microsoft Entra-toepassingsbeheerder is.
• Identificeer de naam van uw Microsoft Entra-tenant. De tenantnaam moet de primaire domeinnaam zijn voor uw Microsoft Entra-id. Bijvoorbeeld contoso.onmicrosoft.com.
• Identificeer de Azure-omgeving die u gaat gebruiken. Ondersteunde waarden voor de parameter omgevingsnaam zijn AzureCloud, AzureChinaCloud of AzureUSGovernment, afhankelijk van het Azure-abonnement dat u gebruikt.

Stappen voor het valideren van Azure-identiteit

1. Open op een computer die voldoet aan de vereisten een PowerShell-opdrachtprompt met verhoogde bevoegdheid en voer vervolgens de volgende opdracht uit om AzsReadinessChecker te installeren:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. Voer vanuit de PowerShell-prompt de volgende opdracht uit om in te stellen $serviceAdminCredential als de servicebeheerder voor uw Microsoft Entra-tenant. Vervang serviceadmin\@contoso.onmicrosoft.com door uw account en tenantnaam:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. Voer vanaf de PowerShell-prompt de volgende opdracht uit om de validatie van uw Microsoft Entra-id te starten:

   • Geef de waarde voor de omgevingsnaam op voor AzureEnvironment. Ondersteunde waarden voor de parameter omgevingsnaam zijn AzureCloud, AzureChinaCloud of AzureUSGovernment, afhankelijk van het Azure-abonnement dat u gebruikt.
   • Vervang door contoso.onmicrosoft.com de naam van uw Microsoft Entra-tenant.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Nadat het hulpprogramma is uitgevoerd, controleert u de uitvoer. Controleer of de status in orde is voor installatievereisten. Er wordt een geslaagde validatie weergegeven zoals in het volgende voorbeeld:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Rapport- en logboekbestand

Telkens wanneer validatie wordt uitgevoerd, worden de resultaten in AzsReadinessChecker.log en AzsReadinessCheckerReport.json opgeslagen. De locatie van deze bestanden wordt weergegeven met de validatieresultaten in PowerShell.

Deze bestanden kunnen u helpen bij het delen van de validatiestatus voordat u Azure Stack Hub implementeert of validatieproblemen onderzoekt. Beide bestanden behouden de resultaten van elke volgende validatiecontrole. Het rapport geeft uw implementatieteam bevestiging van de identiteitsconfiguratie. Het logboekbestand kan uw implementatie- of ondersteuningsteam helpen bij het onderzoeken van validatieproblemen.

Standaard worden beide bestanden naar C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.jsongeschreven.

• Gebruik de -OutputPath <path> parameter aan het einde van de opdrachtregel uitvoeren om een andere rapportlocatie op te geven.
• Gebruik de -CleanReport parameter aan het einde van de opdracht uitvoeren om informatie over eerdere uitvoeringen van het hulpprogramma uit AzsReadinessCheckerReport.json te wissen.

Zie het validatierapport van Azure Stack Hub voor meer informatie.

Validatiefouten

Als een validatiecontrole mislukt, worden details over de foutweergave in het PowerShell-venster weergegeven. Het hulpprogramma registreert ook gegevens in het AzsReadinessChecker.log-bestand.

De volgende voorbeelden bevatten richtlijnen voor veelvoorkomende validatiefouten.

Verlopen of tijdelijk wachtwoord

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Oorzaak : het account kan zich niet aanmelden omdat het wachtwoord is verlopen of tijdelijk is.

Oplossing : voer in PowerShell de volgende opdracht uit en volg de aanwijzingen om het wachtwoord opnieuw in te stellen:

Login-AzureRMAccount

Een andere manier is om u als accounteigenaar aan te melden bij Azure Portal en de gebruiker wordt gedwongen het wachtwoord te wijzigen.

Onbekend gebruikerstype

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Oorzaak : het account kan zich niet aanmelden bij de opgegeven Microsoft Entra-id (AADDirectoryTenantName). In dit voorbeeld wordt AzureChinaCloud opgegeven als azureEnvironment.

Oplossing : controleer of het account geldig is voor de opgegeven Azure-omgeving. Voer in PowerShell de volgende opdracht uit om te controleren of het account geldig is voor een specifieke omgeving:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Volgende stappen

Azure-registratie valideren
Het gereedheidsrapport weergeven
Algemene overwegingen voor Azure Stack Hub-integratie