Compartilhar via


Validar a identidade do Azure

Use a ferramenta Verificador de Preparação (AzsReadinessChecker) do Azure Stack Hub para validar se o Microsoft Entra ID está pronto para uso com o Azure Stack Hub. Valide sua solução de identidade do Azure antes de iniciar uma implantação do Azure Stack Hub.

O verificador de preparação valida:

  • Microsoft Entra ID como um provedor de identidade para o Azure Stack Hub.
  • A conta do Microsoft Entra que você planeja usar pode entrar como administrador de aplicativos da sua ID do Microsoft Entra.

A validação confirma que seu ambiente está pronto para o Azure Stack Hub armazenar informações sobre usuários, aplicativos, grupos e entidades de serviço do Azure Stack Hub no Microsoft Entra ID.

Obtenha a ferramenta de verificação de prontidão

Baixe a versão mais recente da ferramenta Verificador de Prontidão (AzsReadinessChecker) do Azure Stack Hub na Galeria do PowerShell.

Instalar e configurar

Pré-requisitos

Os seguintes pré-requisitos são necessários:

Módulos do Az PowerShell

Você precisará ter os módulos AZ PowerShell instalados. Para obter instruções, consulte Instalar o módulo de visualização Az do PowerShell.

Ambiente Microsoft Entra

  • Identifique a conta do Microsoft Entra a ser usada para o Azure Stack Hub e verifique se ela é um Administrador de Aplicativos do Microsoft Entra.
  • Identifique o nome do locatário do Microsoft Entra. O nome do locatário precisa ser o nome de domínio primário do Microsoft Entra ID. Por exemplo, contoso.onmicrosoft.com.

Etapas para validar a identidade do Azure

  1. Em um computador que atenda aos pré-requisitos, abra um prompt de comando elevado do PowerShell e execute o seguinte comando para instalar o AzsReadinessChecker:

    Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
    Install-AzProfile -Profile 2020-09-01-hybrid -Force
    Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
    
  2. No prompt do PowerShell, execute o comando a seguir. Substitua contoso.onmicrosoft.com pelo nome do locatário do Microsoft Entra:

    Connect-AzAccount -tenant contoso.onmicrosoft.com
    
  3. No prompt do PowerShell, execute o comando a seguir para iniciar a validação do Microsoft Entra ID. Substitua contoso.onmicrosoft.com pelo nome do locatário do Microsoft Entra:

    Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
    
  4. Depois que a ferramenta for executado, revise a saída. Confirme se o status dos requisitos de instalação está OK. Uma validação bem-sucedida é exibida como o exemplo a seguir:

    Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
    Starting Azure Identity Validation
    
    Checking Installation Requirements: OK
    
    Finished Azure Identity Validation
    
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
    Invoke-AzsAzureIdentityValidation Completed
    

Relatório e arquivo de log

Cada vez que a validação é executada, ela registra os resultados em AzsReadinessChecker.log e AzsReadinessCheckerReport.json. O local desses arquivos é exibido com os resultados da validação no PowerShell.

Esses arquivos podem ajudar você a compartilhar o status de validação antes de implantar o Azure Stack Hub ou a investigar problemas de validação. Os dois arquivos persistem os resultados de cada verificação de validação subsequente. O relatório fornece a confirmação da configuração de identidade à sua equipe de implantação. O arquivo de log pode ajudar na implantação ou a equipe de suporte a investigar problemas de validação.

Por padrão, ambos os arquivos são gravados em C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

  • Use o parâmetro -OutputPath <path> no final da linha de comando de execução para especificar um local de relatório diferente.
  • Use o parâmetro -CleanReport no final do comando de execução para limpar as informações sobre as execuções anteriores da ferramenta em AzsReadinessCheckerReport.json.

Para obter mais informações, consulte Relatório de validação do Azure Stack Hub.

Falhas de validação

Se uma verificação de validação falhar, os detalhes sobre a falha serão exibidos na janela do PowerShell. A ferramenta também registra informações no arquivo AzsReadinessChecker.log.

Os exemplos a seguir fornecem diretrizes sobre falhas comuns de validação.

Senha expirada ou temporária

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa - A conta não pode entrar porque a senha expirou ou é temporária.

Resolução – no PowerShell, execute o seguinte comando e siga os prompts para redefinir a senha:

Login-AzureRMAccount

Outra maneira é entrar no portal do Azure como o proprietário da conta e o usuário será forçado a alterar a senha.

Tipo de usuário desconhecido

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa – a conta não pode entrar na ID do Microsoft Entra especificada (AADDirectoryTenantName). Neste exemplo, AzureChinaCloud é especificado como AzureEnvironment.

Resolução – confirme se a conta é válida para o ambiente do Azure especificado. No PowerShell, execute o seguinte comando para verificar se a conta é válida para um ambiente específico:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Próximas etapas

Validar o registro do Azure
Exibir o relatório de preparação
Considerações gerais de integração do Azure Stack Hub