Validar a identidade do Azure

Use a ferramenta Verificador de Preparação (AzsReadinessChecker) do Azure Stack Hub para validar se o Microsoft Entra ID está pronto para uso com o Azure Stack Hub. Valide sua solução de identidade do Azure antes de iniciar uma implantação do Azure Stack Hub.

O verificador de preparação valida:

• Microsoft Entra ID como um provedor de identidade para o Azure Stack Hub.
• A conta do Microsoft Entra que você planeja usar pode entrar como administrador de aplicativos da sua ID do Microsoft Entra.

A validação confirma que seu ambiente está pronto para o Azure Stack Hub armazenar informações sobre usuários, aplicativos, grupos e entidades de serviço do Azure Stack Hub no Microsoft Entra ID.

Obtenha a ferramenta de verificação de prontidão

Baixe a versão mais recente da ferramenta Verificador de Prontidão (AzsReadinessChecker) do Azure Stack Hub na Galeria do PowerShell.

Instalar e configurar

Az PowerShell

Pré-requisitos

Os seguintes pré-requisitos são necessários:

Módulos do Az PowerShell

Você precisará ter os módulos AZ PowerShell instalados. Para obter instruções, consulte Instalar o módulo de visualização Az do PowerShell.

Ambiente Microsoft Entra

• Identifique a conta do Microsoft Entra a ser usada para o Azure Stack Hub e verifique se ela é um Administrador de Aplicativos do Microsoft Entra.
• Identifique o nome do locatário do Microsoft Entra. O nome do locatário precisa ser o nome de domínio primário do Microsoft Entra ID. Por exemplo, contoso.onmicrosoft.com.

Etapas para validar a identidade do Azure

1. Em um computador que atenda aos pré-requisitos, abra um prompt de comando elevado do PowerShell e execute o seguinte comando para instalar o AzsReadinessChecker:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. No prompt do PowerShell, execute o comando a seguir. Substitua contoso.onmicrosoft.com pelo nome do locatário do Microsoft Entra:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. No prompt do PowerShell, execute o comando a seguir para iniciar a validação do Microsoft Entra ID. Substitua contoso.onmicrosoft.com pelo nome do locatário do Microsoft Entra:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Depois que a ferramenta for executado, revise a saída. Confirme se o status dos requisitos de instalação está OK. Uma validação bem-sucedida é exibida como o exemplo a seguir:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Pré-requisitos

Os seguintes pré-requisitos são necessários:

Módulos do AzureRM PowerShell

Você precisará ter os módulos AZ PowerShell instalados. Para obter instruções, consulte Instalar o módulo AzureRM do PowerShell.

O computador no qual a ferramenta é executada

• Windows 10 ou Windows Server 2016 com conectividade com a Internet.
• PowerShell 5.1 ou posterior. Para verificar sua versão, execute o seguinte comando do PowerShell e examine a versão principal e as versões secundárias:

  $PSVersionTable.PSVersion
  

• PowerShell configurado para Azure Stack Hub.
• A versão mais recente da ferramenta Verificador de Preparação do Microsoft Azure Stack Hub.

Ambiente Microsoft Entra

• Identifique a conta do Microsoft Entra a ser usada para o Azure Stack Hub e verifique se ela é um Administrador de Aplicativos do Microsoft Entra.
• Identifique o nome do locatário do Microsoft Entra. O nome do locatário precisa ser o nome de domínio primário do Microsoft Entra ID. Por exemplo, contoso.onmicrosoft.com.
• Identifique o ambiente do Azure que você usará. Os valores com suporte para o parâmetro de nome do ambiente são AzureCloud, AzureChinaCloud ou AzureUSGovernment, dependendo de qual assinatura do Azure você usa.

Etapas para validar a identidade do Azure

1. Em um computador que atenda aos pré-requisitos, abra um prompt de comando elevado do PowerShell e execute o seguinte comando para instalar o AzsReadinessChecker:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. No prompt do PowerShell, execute o comando a seguir para definir $serviceAdminCredential como o administrador de serviços para seu locatário do Microsoft Entra. Substitua serviceadmin\@contoso.onmicrosoft.com pela sua conta e nome de locatário:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. No prompt do PowerShell, execute o seguinte comando para iniciar a validação da ID do Microsoft Entra:

   • Especifique o valor do nome do ambiente para AzureEnvironment. Os valores com suporte para o parâmetro de nome do ambiente são AzureCloud, AzureChinaCloud ou AzureUSGovernment, dependendo de qual assinatura do Azure você usa.
   • Substitua contoso.onmicrosoft.com pelo nome do locatário do Microsoft Entra.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Depois que a ferramenta for executado, revise a saída. Confirme se o status dos requisitos de instalação está OK. Uma validação bem-sucedida é exibida como o exemplo a seguir:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Relatório e arquivo de log

Cada vez que a validação é executada, ela registra os resultados em AzsReadinessChecker.log e AzsReadinessCheckerReport.json. O local desses arquivos é exibido com os resultados da validação no PowerShell.

Esses arquivos podem ajudar você a compartilhar o status de validação antes de implantar o Azure Stack Hub ou a investigar problemas de validação. Os dois arquivos persistem os resultados de cada verificação de validação subsequente. O relatório fornece a confirmação da configuração de identidade à sua equipe de implantação. O arquivo de log pode ajudar na implantação ou a equipe de suporte a investigar problemas de validação.

Por padrão, ambos os arquivos são gravados em C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

• Use o parâmetro -OutputPath <path> no final da linha de comando de execução para especificar um local de relatório diferente.
• Use o parâmetro -CleanReport no final do comando de execução para limpar as informações sobre as execuções anteriores da ferramenta em AzsReadinessCheckerReport.json.

Para obter mais informações, consulte Relatório de validação do Azure Stack Hub.

Falhas de validação

Se uma verificação de validação falhar, os detalhes sobre a falha serão exibidos na janela do PowerShell. A ferramenta também registra informações no arquivo AzsReadinessChecker.log.

Os exemplos a seguir fornecem diretrizes sobre falhas comuns de validação.

Senha expirada ou temporária

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa - A conta não pode entrar porque a senha expirou ou é temporária.

Resolução – no PowerShell, execute o seguinte comando e siga os prompts para redefinir a senha:

Login-AzureRMAccount

Outra maneira é entrar no portal do Azure como o proprietário da conta e o usuário será forçado a alterar a senha.

Tipo de usuário desconhecido

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa – a conta não pode entrar na ID do Microsoft Entra especificada (AADDirectoryTenantName). Neste exemplo, AzureChinaCloud é especificado como AzureEnvironment.

Resolução – confirme se a conta é válida para o ambiente do Azure especificado. No PowerShell, execute o seguinte comando para verificar se a conta é válida para um ambiente específico:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Próximas etapas

Validar o registro do Azure
Exibir o relatório de preparação
Considerações gerais de integração do Azure Stack Hub