Validar identidade do Azure

Use a ferramenta Azure Stack Hub Readiness Checker (AzsReadinessChecker) para validar se sua ID do Microsoft Entra está pronta para uso com o Azure Stack Hub. Valide sua solução de identidade do Azure antes de começar uma implantação do Azure Stack Hub.

O verificador de prontidão valida:

• Microsoft Entra ID como um provedor de identidade para o Azure Stack Hub.
• A conta do Microsoft Entra que você planeja usar pode entrar como administrador de aplicativo da sua ID do Microsoft Entra.

A validação garante que seu ambiente esteja pronto para o Azure Stack Hub armazenar informações sobre usuários, aplicativos, grupos e entidades de serviço do Azure Stack Hub em sua ID do Microsoft Entra.

Obtenha a ferramenta de verificação de prontidão

Baixe a versão mais recente da ferramenta Azure Stack Hub Readiness Checker (AzsReadinessChecker) na Galeria do PowerShell.

Instalar e configurar

Az PowerShell

Pré-requisitos

Os seguintes pré-requisitos são necessários:

Módulos do Az PowerShell

Você precisará ter os módulos do Az PowerShell instalados. Para obter instruções, consulte Instalar o módulo de visualização do PowerShell Az.

Ambiente Microsoft Entra

• Identifique a conta do Microsoft Entra a ser usada para o Azure Stack Hub e verifique se é um Administrador de Aplicativo do Microsoft Entra.
• Identifique o nome do locatário do Microsoft Entra. O nome do locatário deve ser o nome de domínio principal para sua ID do Microsoft Entra. Por exemplo, contoso.onmicrosoft.com.

Etapas para validar a identidade do Azure

1. Em um computador que atenda aos pré-requisitos, abra um prompt de comando do PowerShell com privilégios elevados e execute o seguinte comando para instalar o AzsReadinessChecker:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. No prompt do PowerShell, execute o seguinte comando. Substitua contoso.onmicrosoft.com pelo nome do locatário do Microsoft Entra:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. No prompt do PowerShell, execute o seguinte comando para iniciar a validação da sua ID do Microsoft Entra. Substitua contoso.onmicrosoft.com pelo nome do locatário do Microsoft Entra:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. Depois que a ferramenta for executada, revise a saída. Confirme se o status é OK para os requisitos de instalação. Uma validação bem-sucedida aparece como o exemplo a seguir:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Pré-requisitos

Os seguintes pré-requisitos são necessários:

Módulos do AzureRM PowerShell

Você precisará ter os módulos do Az PowerShell instalados. Para obter instruções, consulte Instalar o módulo AzureRM do PowerShell.

O computador no qual a ferramenta é executada

• Windows 10 ou Windows Server 2016 com conectividade à Internet.
• PowerShell 5.1 ou posterior. Para verificar sua versão, execute o seguinte comando do PowerShell e revise a versão principal e as versões secundárias:

  $PSVersionTable.PSVersion
  

• PowerShell configurado para o Azure Stack Hub.
• A versão mais recente da ferramenta Microsoft Azure Stack Hub Readiness Checker .

Ambiente Microsoft Entra

• Identifique a conta do Microsoft Entra a ser usada para o Azure Stack Hub e verifique se é um Administrador de Aplicativo do Microsoft Entra.
• Identifique o nome do locatário do Microsoft Entra. O nome do locatário deve ser o nome de domínio principal para sua ID do Microsoft Entra. Por exemplo, contoso.onmicrosoft.com.
• Identifique o ambiente do Azure que você usará. Os valores suportados para o parâmetro de nome do ambiente são AzureCloud, AzureChinaCloud ou AzureUSGovernment, dependendo da assinatura do Azure que você usa.

Etapas para validar a identidade do Azure

1. Em um computador que atenda aos pré-requisitos, abra um prompt de comando do PowerShell com privilégios elevados e execute o seguinte comando para instalar o AzsReadinessChecker:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. No prompt do PowerShell, execute o seguinte comando para definir $serviceAdminCredential como o administrador de serviço para seu locatário do Microsoft Entra. Substitua serviceadmin\@contoso.onmicrosoft.com pela sua conta e nome de inquilino:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. No prompt do PowerShell, execute o seguinte comando para iniciar a validação da sua ID do Microsoft Entra:

   • Especifique o valor do nome do ambiente para AzureEnvironment. Os valores suportados para o parâmetro de nome do ambiente são AzureCloud, AzureChinaCloud ou AzureUSGovernment, dependendo da assinatura do Azure que você usa.
   • Substitua contoso.onmicrosoft.com pelo nome do locatário do Microsoft Entra.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. Depois que a ferramenta for executada, revise a saída. Confirme se o status é OK para os requisitos de instalação. Uma validação bem-sucedida aparece como o exemplo a seguir:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Relatório e arquivo de log

Cada vez que a validação é executada, ele registra os resultados para AzsReadinessChecker.log e AzsReadinessCheckerReport.json. O local desses arquivos é exibido com os resultados da validação no PowerShell.

Esses arquivos podem ajudá-lo a compartilhar o status de validação antes de implantar o Azure Stack Hub ou investigar problemas de validação. Ambos os arquivos persistem os resultados de cada verificação de validação subsequente. O relatório fornece a confirmação da configuração de identidade da equipe de implantação. O arquivo de log pode ajudar sua equipe de implantação ou suporte a investigar problemas de validação.

Por padrão, ambos os arquivos são gravados em C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

• Use o -OutputPath <path> parâmetro no final da linha de comando de execução para especificar um local de relatório diferente.
• Use o -CleanReport parâmetro no final do comando run para limpar informações sobre execuções anteriores da ferramenta de AzsReadinessCheckerReport.json.

Para obter mais informações, consulte Relatório de validação do Azure Stack Hub.

Falhas de validação

Se uma verificação de validação falhar, os detalhes sobre a falha serão exibidos na janela do PowerShell. A ferramenta também registra informações no arquivo AzsReadinessChecker.log.

Os exemplos a seguir fornecem orientação sobre falhas comuns de validação.

Senha expirada ou temporária

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa - A conta não consegue iniciar sessão porque a palavra-passe expirou ou é temporária.

Resolução - No PowerShell, execute o seguinte comando e siga as instruções para redefinir a senha:

Login-AzureRMAccount

Outra maneira é entrar no portal do Azure como o proprietário da conta e o usuário será forçado a alterar a senha.

Tipo de utilizador desconhecido

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Causa - A conta não consegue iniciar sessão no ID do Microsoft Entra especificado (AADDirectoryTenantName). Neste exemplo, AzureChinaCloud é especificado como AzureEnvironment.

Resolução - Confirme se a conta é válida para o ambiente do Azure especificado. No PowerShell, execute o seguinte comando para verificar se a conta é válida para um ambiente específico:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Passos Seguintes

Validate Azure registration (Validar o registo do Azure)
Exibir o relatório de preparação
Considerações gerais sobre a integração do Azure Stack Hub