Multitenancy configureren in Azure Stack Hub
U kunt Azure Stack Hub configureren ter ondersteuning van aanmeldingen van gebruikers die zich in andere Microsoft Entra-directory's bevinden, zodat ze services kunnen gebruiken in Azure Stack Hub. Deze mappen hebben een 'gast'-relatie met uw Azure Stack Hub-directory en worden beschouwd als gast-Microsoft Entra-tenants.
Denk bijvoorbeeld aan dit scenario:
- U bent de servicebeheerder van contoso.onmicrosoft.com, de Microsoft Entra-tenant die identiteits- en toegangsbeheerservices biedt aan Azure Stack Hub.
- Mary is de directorybeheerder van adatum.onmicrosoft.com, de gast-Microsoft Entra-tenant waar gastgebruikers zich bevinden.
- Mary's bedrijf (Adatum) maakt gebruik van IaaS- en PaaS-services van uw bedrijf. Adatum wil gebruikers uit de gastmap (adatum.onmicrosoft.com) toestaan zich aan te melden en Azure Stack Hub-resources te gebruiken die zijn beveiligd door contoso.onmicrosoft.com.
Deze handleiding bevat de stappen die nodig zijn in de context van dit scenario om multitenancy in of uit te schakelen in Azure Stack Hub voor een gastmaptenant. U en Mary doen dit proces door de tenant van de gastmap te registreren of de registratie ervan ongedaan te maken, waardoor Azure Stack Hub-aanmeldingen en serviceverbruik door Adatum-gebruikers worden ingeschakeld of uitgeschakeld.
Als u een Cloud Solution Provider (CSP) bent, hebt u andere manieren om een Azure Stack Hub met meerdere tenants te configureren en te beheren.
Vereisten
Voordat u een gastmap registreert of de registratie ervan ongedaan maakt, moeten u en Mary de beheerstappen uitvoeren voor uw respectieve Microsoft Entra-tenants: de Azure Stack Hub-basismap (Contoso) en de gastmap (Adatum):
PowerShell voor Azure Stack Hub installeren en configureren .
Download de Azure Stack Hub Tools en importeer vervolgens de modules Connect en Identity:
Import-Module .\Identity\AzureStack.Identity.psm1
Een gastmap registreren
Als u een gastmap voor meerdere tenants wilt registreren, moet u zowel de azure Stack Hub-basismap als de gastmap configureren.
Azure Stack Hub-directory configureren
Als servicebeheerder van contoso.onmicrosoft.com moet u eerst de gastmaptenant van Adatum onboarden naar Azure Stack Hub. Met het volgende script configureert u Azure Resource Manager om aanmeldingen van gebruikers en service-principals in de adatum.onmicrosoft.com-tenant te accepteren:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"
## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"
## Replace the value below with the region location of the resource group.
$location = "local"
# Subscription Name
$SubscriptionName = "Default Provider Subscription"
Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
-DirectoryTenantName $azureStackDirectoryTenant `
-GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
-Location $location `
-ResourceGroupName $ResourceGroupName `
-SubscriptionName $SubscriptionName
Gastmap configureren
Vervolgens moet Mary (directorybeheerder van Adatum) Azure Stack Hub registreren bij de adatum.onmicrosoft.com gastmap door het volgende script uit te voeren:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"
Register-AzSWithMyDirectoryTenant `
-TenantResourceManagerEndpoint $tenantARMEndpoint `
-DirectoryTenantName $guestDirectoryTenantName `
-Verbose
Belangrijk
Als uw Azure Stack Hub-beheerder in de toekomst nieuwe services of updates installeert, moet u dit script mogelijk opnieuw uitvoeren.
Voer dit script op elk gewenst moment opnieuw uit om de status van de Azure Stack Hub-apps in uw directory te controleren.
Als u problemen ondervindt met het maken van VM's in Managed Disks (geïntroduceerd in de update 1808), is er een nieuwe schijfresourceprovider toegevoegd. Hiervoor moet dit script opnieuw worden uitgevoerd.
Gebruikers om zich aan te melden
Ten slotte kan Mary Adatum-gebruikers met @adatum.onmicrosoft.com accounts om zich aan te melden door naar de Azure Stack Hub-gebruikersportal te gaan. Voor systemen met meerdere knooppunten is de URL van de gebruikersportal opgemaakt als https://portal.<region>.<FQDN>. Voor een ASDK-implementatie is https://portal.local.azurestack.externalde URL .
Mary moet ook alle refererende principals (gebruikers in de Adatum-directory zonder het achtervoegsel van adatum.onmicrosoft.com) om zich aan te melden met behulp https://<user-portal-url>/adatum.onmicrosoft.comvan . Als ze de /adatum.onmicrosoft.com maptenant niet in de URL opgeven, worden ze verzonden naar hun standaardmap en krijgen ze een foutmelding met de mededeling dat de beheerder geen toestemming heeft gegeven.
Registratie van een gastmap ongedaan maken
Als u aanmeldingen niet meer wilt toestaan bij Azure Stack Hub-services vanuit een tenant van een gastmap, kunt u de registratie van de directory ongedaan maken. Ook hier moeten zowel de azure Stack Hub-basismap als de gastmap worden geconfigureerd:
Als beheerder van de gastmap (Mary in dit scenario), voert u de opdracht uit
Unregister-AzsWithMyDirectoryTenant. Met de cmdlet worden alle Azure Stack Hub-apps uit de nieuwe map verwijderd.## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>. $tenantARMEndpoint = "https://management.local.azurestack.external" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantName = "adatum.onmicrosoft.com" Unregister-AzsWithMyDirectoryTenant ` -TenantResourceManagerEndpoint $tenantARMEndpoint ` -DirectoryTenantName $guestDirectoryTenantName ` -VerboseAls servicebeheerder van Azure Stack Hub (in dit scenario) voert u de
Unregister-AzSGuestDirectoryTenantcmdlet uit:## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>. $adminARMEndpoint = "https://adminmanagement.local.azurestack.external" ## Replace the value below with the Azure Stack Hub directory $azureStackDirectoryTenant = "contoso.onmicrosoft.com" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com" ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist). $ResourceGroupName = "system.local" Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint ` -DirectoryTenantName $azureStackDirectoryTenant ` -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned ` -ResourceGroupName $ResourceGroupNameWaarschuwing
De stappen voor het uitschakelen van meerdere tenants moeten op volgorde worden uitgevoerd. Stap 1 mislukt als stap 2 eerst is voltooid.
Statusrapport van Azure Stack Hub-identiteit ophalen
Vervang de <region>tijdelijke <domain>aanduidingen en <homeDirectoryTenant> tijdelijke aanduidingen en voer vervolgens de volgende cmdlet uit als de Azure Stack Hub-beheerder.
$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft
Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft
Microsoft Entra-tenantmachtigingen bijwerken
Met deze actie wordt een waarschuwing in Azure Stack Hub gewist, wat aangeeft dat een map een update vereist. Voer de volgende opdracht uit vanuit de map Azurestack-tools-master/identity :
Import-Module ..\Identity\AzureStack.Identity.psm1
$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"
Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
-DirectoryTenantName $homeDirectoryTenantName -Verbose
Het script vraagt u om beheerdersreferenties op de Microsoft Entra-tenant en het uitvoeren van enkele minuten. De waarschuwing wordt gewist nadat u de cmdlet hebt uitgevoerd.
Portalbeheer wordt niet ondersteund voor deze versie
Multitenancybeheer met behulp van de beheerportal is alleen beschikbaar voor versies 2102 en hoger. Selecteer een latere versie met behulp van de selector in het linkerbovenhoekgedeelte van de pagina.
Een gastmap registreren
Als u een gastmap voor meerdere tenants wilt registreren, moet u zowel de azure Stack Hub-basismap als de gastmap configureren.
Azure Stack Hub-directory configureren
De eerste stap is om uw Azure Stack Hub-systeem bewust te maken van de gastmap. In dit voorbeeld wordt de adreslijst van Mary's bedrijf, Adatum, adatum.onmicrosoft.com genoemd.
Meld u aan bij de Azure Stack Hub-beheerdersportal en ga naar Alle services - Directory's.
Selecteer Toevoegen om het onboardingproces te starten. Voer de naam van de gastmap 'adatum.onmicrosoft.com' in en selecteer vervolgens Toevoegen.
De gastmap wordt weergegeven in de lijstweergave, met de status niet geregistreerd.
Alleen Mary heeft de referenties voor verificatie bij de gastmap, dus u moet haar de koppeling sturen om de registratie te voltooien. Schakel het selectievakje adatum.onmicrosoft.com in en selecteer vervolgens Registreren.
Er wordt een nieuw browsertabblad geopend. Selecteer Koppeling kopiëren onder aan de pagina en geef deze op aan Mary.
Als u de referenties voor de gastmap hebt, kunt u de registratie zelf voltooien door Aanmelden te selecteren.
Gastmap configureren
Mary heeft de e-mail ontvangen met de koppeling om de directory te registreren. Ze opent de koppeling in een browser en bevestigt de Microsoft Entra-id en het Azure Resource Manager-eindpunt van uw Azure Stack Hub-systeem.
Mary meldt zich aan met haar beheerdersreferenties voor adatum.onmicrosoft.com.
Notitie
Zorg ervoor dat pop-upblokkeringen zijn uitgeschakeld voordat u zich aanmeldt.
Mary controleert de status van de map en ziet dat deze niet is geregistreerd.
Mary selecteert Registreren om het proces te starten.
Notitie
Vereiste objecten voor Visual Studio Code kunnen mogelijk niet worden gemaakt en moeten PowerShell gebruiken.
Nadat het registratieproces is voltooid, kan Mary alle toepassingen bekijken die in de map zijn gemaakt en hun status controleren.
Mary heeft het registratieproces voltooid en kan nu Adatum-gebruikers met @adatum.onmicrosoft.com accounts om zich aan te melden door naar de Azure Stack Hub-gebruikersportal te gaan. Voor systemen met meerdere knooppunten is de URL van de gebruikersportal opgemaakt als
https://portal.<region>.<FQDN>. Voor een ASDK-implementatie ishttps://portal.local.azurestack.externalde URL .
Belangrijk
Het kan maximaal één uur duren voordat de Azure Stack-operator de mapstatus in de beheerportal heeft bijgewerkt.
Mary moet ook alle refererende principals (gebruikers in de Adatum-directory zonder het achtervoegsel van adatum.onmicrosoft.com) om zich aan te melden met behulp https://<user-portal-url>/adatum.onmicrosoft.comvan . Als ze de /adatum.onmicrosoft.com maptenant niet in de URL opgeven, worden ze verzonden naar hun standaardmap en krijgen ze een foutmelding met de mededeling dat de beheerder geen toestemming heeft gegeven.
Registratie van een gastmap ongedaan maken
Als u aanmeldingen niet meer wilt toestaan bij Azure Stack Hub-services vanuit een tenant van een gastmap, kunt u de registratie van de directory ongedaan maken. Ook hier moeten zowel de azure Stack Hub-basismap als de gastmap worden geconfigureerd:
Gastmap configureren
Mary gebruikt geen services meer in Azure Stack Hub en moet de objecten verwijderen. Ze opent de URL opnieuw die ze via e-mail heeft ontvangen om de registratie van de directory ongedaan te maken. Voordat u dit proces start, verwijdert Mary alle resources uit het Azure Stack Hub-abonnement.
Mary meldt zich aan met haar beheerdersreferenties voor adatum.onmicrosoft.com.
Notitie
Zorg ervoor dat pop-upblokkeringen zijn uitgeschakeld voordat u zich aanmeldt.
Mary ziet de status van de map.
Mary selecteert Registratie opheffen om de actie te starten.
Wanneer het proces is voltooid, wordt de status weergegeven als Niet geregistreerd:
Mary heeft de registratie van de directory ongedaan gemaakt adatum.onmicrosoft.com.
Notitie
Het kan maximaal één uur duren voordat de map wordt weergegeven als niet geregistreerd in de Azure Stack-beheerportal.
Azure Stack Hub-directory configureren
Als Azure Stack Hub-operator kunt u de gastmap op elk gewenst moment verwijderen, zelfs als Mary de registratie van de map nog niet heeft opgehefd.
Meld u aan bij de Azure Stack Hub-beheerdersportal en ga naar Alle services - Directory's.
Schakel het selectievakje adatum.onmicrosoft.com map in en selecteer vervolgens Verwijderen.
Bevestig de verwijderactie door Ja te typen en Verwijderen te selecteren.
U hebt de map verwijderd.
Vereiste updates beheren
Azure Stack Hub-updates kunnen ondersteuning bieden voor nieuwe hulpprogramma's of services waarvoor mogelijk een update van de basis- of gastmap is vereist.
Als Azure Stack Hub-operator krijgt u een waarschuwing in de beheerportal die u informeert over een vereiste directory-update. U kunt ook bepalen of een update vereist is voor thuis- of gastmappen door het deelvenster mappen in de beheerportal weer te geven. Elke lijst met mappen toont het type map. Het type kan een basis- of gastmap zijn en de status ervan wordt weergegeven.
De Azure Stack Hub-directory's bijwerken
Wanneer een Azure Stack Hub-directory-update is vereist, wordt de status Update vereist weergegeven. Voorbeeld:
Als u de map wilt bijwerken, schakelt u het selectievakje Mapnaam in en selecteert u Bijwerken.
De gastmap bijwerken
Een Azure Stack Hub-operator moet ook de eigenaar van de gastmap informeren dat ze hun directory moeten bijwerken met behulp van de URL die wordt gedeeld voor registratie. De operator kan de URL opnieuw verzenden, maar wordt niet gewijzigd.
Mary, de eigenaar van de gastmap, opent de URL die ze via e-mail heeft ontvangen toen ze de directory registreerde:
Mary meldt zich aan met haar beheerdersreferenties voor adatum.onmicrosoft.com. Zorg ervoor dat pop-upblokkeringen zijn uitgeschakeld voordat u zich aanmeldt.
Mary ziet de status van de map waarin staat dat er een update is vereist.
De actie Update is beschikbaar voor Mary om de gastmap bij te werken. Het kan een uur duren voordat de map wordt weergegeven als geregistreerd in de Azure Stack-beheerportal.
Aanvullende mogelijkheden
Een Azure Stack Hub-operator kan de abonnementen bekijken die zijn gekoppeld aan een directory. Bovendien heeft elke map een actie om de map rechtstreeks in Azure Portal te beheren. Als u dit wilt beheren, moet de doelmap machtigingen voor beheer hebben in Azure Portal.