Weryfikowanie tożsamości platformy Azure

Użyj narzędzia do sprawdzania gotowości usługi Azure Stack Hub (AzsReadinessChecker), aby sprawdzić, czy identyfikator Entra firmy Microsoft jest gotowy do użycia z usługą Azure Stack Hub. Przed rozpoczęciem wdrażania usługi Azure Stack Hub zweryfikuj rozwiązanie tożsamości platformy Azure.

Kontroler gotowości sprawdza poprawność:

• Microsoft Entra ID jako dostawca tożsamości dla usługi Azure Stack Hub.
• Konto Microsoft Entra, którego planujesz użyć, może zalogować się jako administrator aplikacji identyfikatora Entra firmy Microsoft.

Walidacja zapewnia, że środowisko jest gotowe do przechowywania informacji o użytkownikach, aplikacjach, grupach i jednostkach usługi z usługi Azure Stack Hub w identyfikatorze Firmy Microsoft Entra.

Pobieranie narzędzia do sprawdzania gotowości

Pobierz najnowszą wersję narzędzia do sprawdzania gotowości usługi Azure Stack Hub (AzsReadinessChecker) z Galeria programu PowerShell.

Instaluj i konfiguruj

Moduł Az programu PowerShell

Wymagania wstępne

Wymagane są następujące wymagania wstępne:

Moduły Az programu PowerShell

Musisz mieć zainstalowane moduły Az programu PowerShell. Aby uzyskać instrukcje, zobacz Instalowanie modułu Az programu PowerShell w wersji zapoznawczej.

Środowisko Firmy Microsoft Entra

• Zidentyfikuj konto microsoft Entra do użycia w usłudze Azure Stack Hub i upewnij się, że jest to administrator aplikacji firmy Microsoft Entra.
• Zidentyfikuj nazwę dzierżawy firmy Microsoft Entra. Nazwa dzierżawy musi być nazwą domeny podstawowej dla identyfikatora entra firmy Microsoft. Na przykład contoso.onmicrosoft.com.

Kroki weryfikacji tożsamości platformy Azure

1. Na komputerze spełniającym wymagania wstępne otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie, aby zainstalować narzędzie AzsReadinessChecker:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. W wierszu polecenia programu PowerShell uruchom następujące polecenie. Zastąp contoso.onmicrosoft.com ciąg nazwą dzierżawy firmy Microsoft Entra:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. W wierszu polecenia programu PowerShell uruchom następujące polecenie, aby rozpocząć walidację identyfikatora Entra firmy Microsoft. Zastąp contoso.onmicrosoft.com ciąg nazwą dzierżawy firmy Microsoft Entra:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Po uruchomieniu narzędzia przejrzyj dane wyjściowe. Upewnij się, że stan to OK dla wymagań dotyczących instalacji. Pomyślna walidacja jest wyświetlana jak w poniższym przykładzie:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Wymagania wstępne

Wymagane są następujące wymagania wstępne:

Moduły programu PowerShell modułu AzureRM

Musisz mieć zainstalowane moduły Az programu PowerShell. Aby uzyskać instrukcje, zobacz Instalowanie modułu AzureRM programu PowerShell.

Komputer, na którym jest uruchomione narzędzie

• Windows 10 lub Windows Server 2016 z łącznością internetową.
• Program PowerShell 5.1 lub nowszy. Aby sprawdzić wersję, uruchom następujące polecenie programu PowerShell, a następnie przejrzyj wersję główną i wersje pomocnicze:

  $PSVersionTable.PSVersion
  

• Program PowerShell skonfigurowany dla usługi Azure Stack Hub.
• Najnowsza wersja narzędzia do sprawdzania gotowości usługi Microsoft Azure Stack Hub.

Środowisko Firmy Microsoft Entra

• Zidentyfikuj konto microsoft Entra do użycia w usłudze Azure Stack Hub i upewnij się, że jest to administrator aplikacji firmy Microsoft Entra.
• Zidentyfikuj nazwę dzierżawy firmy Microsoft Entra. Nazwa dzierżawy musi być nazwą domeny podstawowej dla identyfikatora entra firmy Microsoft. Na przykład contoso.onmicrosoft.com.
• Zidentyfikuj używane środowisko platformy Azure. Obsługiwane wartości parametru nazwy środowiska to AzureCloud, AzureChinaCloud lub AzureUSGovernment, w zależności od używanej subskrypcji platformy Azure.

Kroki weryfikacji tożsamości platformy Azure

1. Na komputerze spełniającym wymagania wstępne otwórz wiersz polecenia programu PowerShell z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenie, aby zainstalować narzędzie AzsReadinessChecker:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. W wierszu polecenia programu PowerShell uruchom następujące polecenie, aby ustawić $serviceAdminCredential jako administrator usługi dla dzierżawy firmy Microsoft Entra. Zastąp serviceadmin\@contoso.onmicrosoft.com ciąg swoim kontem i nazwą dzierżawy:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. W wierszu polecenia programu PowerShell uruchom następujące polecenie, aby rozpocząć walidację identyfikatora entra firmy Microsoft:

   • Określ wartość nazwy środowiska dla elementu AzureEnvironment. Obsługiwane wartości parametru nazwy środowiska to AzureCloud, AzureChinaCloud lub AzureUSGovernment, w zależności od używanej subskrypcji platformy Azure.
   • Zastąp contoso.onmicrosoft.com ciąg nazwą dzierżawy firmy Microsoft Entra.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Po uruchomieniu narzędzia przejrzyj dane wyjściowe. Upewnij się, że stan to OK dla wymagań dotyczących instalacji. Pomyślna walidacja jest wyświetlana jak w poniższym przykładzie:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Raport i plik dziennika

Za każdym razem, gdy jest uruchamiana walidacja, rejestruje wyniki AzsReadinessChecker.log i AzsReadinessCheckerReport.json. Lokalizacja tych plików zostanie wyświetlona z wynikami walidacji w programie PowerShell.

Te pliki mogą ułatwić udostępnianie stanu weryfikacji przed wdrożeniem usługi Azure Stack Hub lub zbadaniem problemów z walidacją. Oba pliki utrwalają wyniki każdego kolejnego sprawdzania poprawności. Raport zawiera potwierdzenie konfiguracji tożsamości przez zespół wdrożeniowy. Plik dziennika może pomóc zespołowi ds. wdrażania lub pomocy technicznej zbadać problemy z walidacją.

Domyślnie oba pliki są zapisywane w pliku C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

• Użyj parametru -OutputPath <path> na końcu wiersza polecenia uruchamiania, aby określić inną lokalizację raportu.
• Użyj parametru -CleanReport na końcu polecenia uruchamiania, aby wyczyścić informacje o poprzednich uruchomieniach narzędzia z AzsReadinessCheckerReport.json.

Aby uzyskać więcej informacji, zobacz Raport weryfikacji usługi Azure Stack Hub.

Niepowodzenia walidacji

Jeśli sprawdzanie poprawności zakończy się niepowodzeniem, szczegółowe informacje o błędzie są wyświetlane w oknie programu PowerShell. Narzędzie rejestruje również informacje w pliku AzsReadinessChecker.log.

Poniższe przykłady zawierają wskazówki dotyczące typowych błędów walidacji.

Wygasłe lub tymczasowe hasło

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Przyczyna — konto nie może się zalogować, ponieważ hasło wygasło lub zostało tymczasowe.

Rozwiązanie — w programie PowerShell uruchom następujące polecenie, a następnie postępuj zgodnie z monitami, aby zresetować hasło:

Login-AzureRMAccount

Innym sposobem jest zalogowanie się w witrynie Azure Portal jako właściciel konta, a użytkownik zostanie zmuszony do zmiany hasła.

Nieznany typ użytkownika

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Przyczyna — konto nie może zalogować się do określonego identyfikatora Microsoft Entra (AADDirectoryTenantName). W tym przykładzie usługa AzureChinaCloud jest określana jako azureEnvironment.

Rozwiązanie — upewnij się, że konto jest prawidłowe dla określonego środowiska platformy Azure. W programie PowerShell uruchom następujące polecenie, aby sprawdzić, czy konto jest prawidłowe dla określonego środowiska:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Następne kroki

Validate Azure registration (Sprawdzanie poprawności rejestracji na platformie Azure)
Wyświetlanie raportu gotowości
Ogólne zagadnienia dotyczące integracji z usługą Azure Stack Hub