Configurar multilocação no Azure Stack Hub
Você pode configurar o Azure Stack Hub para dar suporte a entradas de usuários que residem em outros diretórios do Microsoft Entra, permitindo que eles usem serviços no Azure Stack Hub. Esses diretórios têm um relacionamento "convidado" com seu diretório do Azure Stack Hub e são considerados locatários convidados do Microsoft Entra.
Por exemplo, considere este cenário:
- Você é o administrador de serviço do contoso.onmicrosoft.com, o locatário doméstico do Microsoft Entra que fornece serviços de gerenciamento de identidade e acesso ao Azure Stack Hub.
- Mary é a administradora de diretório do adatum.onmicrosoft.com, o locatário convidado do Microsoft Entra onde os usuários convidados estão localizados.
- A empresa de Mary (Adatum) utiliza serviços IaaS e PaaS da sua empresa. A Adatum deseja permitir que os usuários do diretório convidado (adatum.onmicrosoft.com) entrem e usem os recursos do Azure Stack Hub protegidos pelo contoso.onmicrosoft.com.
Este guia fornece as etapas necessárias, no contexto desse cenário, para habilitar ou desabilitar a multilocação no Azure Stack Hub para um locatário de diretório convidado. Você e Mary realizam esse processo registrando ou cancelando o registro do locatário do diretório de convidados, o que habilita ou desabilita as entradas do Azure Stack Hub e o consumo de serviços pelos usuários do Adatum.
Se você for um CSP (Provedor de Soluções na Nuvem), terá outras maneiras de configurar e gerenciar um Hub de Pilha do Azure multilocatário.
Pré-requisitos
Antes de registrar ou cancelar o registro de um diretório de convidados, você e Mary devem concluir as etapas administrativas para seus respetivos locatários do Microsoft Entra: o diretório base do Azure Stack Hub (Contoso) e o diretório de convidados (Adatum):
Baixe as Ferramentas do Azure Stack Hub e importe os módulos Connect e Identity:
Import-Module .\Identity\AzureStack.Identity.psm1
Registrar um diretório de convidados
Para registrar um diretório de convidado para multilocação, você precisa configurar o diretório inicial do Azure Stack Hub e o diretório de convidados.
Configurar o diretório do Azure Stack Hub
Como administrador de serviço do contoso.onmicrosoft.com, você deve primeiro integrar o locatário do diretório convidado do Adatum ao Azure Stack Hub. O script a seguir configura o Azure Resource Manager para aceitar entradas de usuários e entidades de serviço no locatário adatum.onmicrosoft.com:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>.
$adminARMEndpoint = "https://adminmanagement.local.azurestack.external"
## Replace the value below with the Azure Stack Hub directory
$azureStackDirectoryTenant = "contoso.onmicrosoft.com"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantToBeOnboarded = "adatum.onmicrosoft.com"
## Replace the value below with the name of the resource group in which the directory tenant registration resource should be created (resource group must already exist).
$ResourceGroupName = "system.local"
## Replace the value below with the region location of the resource group.
$location = "local"
# Subscription Name
$SubscriptionName = "Default Provider Subscription"
Register-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint `
-DirectoryTenantName $azureStackDirectoryTenant `
-GuestDirectoryTenantName $guestDirectoryTenantToBeOnboarded `
-Location $location `
-ResourceGroupName $ResourceGroupName `
-SubscriptionName $SubscriptionName
Configurar diretório de convidado
Em seguida, Mary (administrador de diretório do Adatum) deve registrar o Azure Stack Hub com o diretório convidado adatum.onmicrosoft.com executando o seguinte script:
## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>.
$tenantARMEndpoint = "https://management.local.azurestack.external"
## Replace the value below with the guest directory tenant.
$guestDirectoryTenantName = "adatum.onmicrosoft.com"
Register-AzSWithMyDirectoryTenant `
-TenantResourceManagerEndpoint $tenantARMEndpoint `
-DirectoryTenantName $guestDirectoryTenantName `
-Verbose
Importante
Se o administrador do Azure Stack Hub instalar novos serviços ou atualizações no futuro, talvez seja necessário executar esse script novamente.
Execute esse script novamente a qualquer momento para verificar o status dos aplicativos do Azure Stack Hub em seu diretório.
Se você notar problemas com a criação de VMs em discos gerenciados (introduzidos na atualização 1808), um novo provedor de recursos de disco foi adicionado, o que requer que esse script seja executado novamente.
Direcione os usuários para entrar
Por fim, Mary pode direcionar os usuários do Adatum com @adatum.onmicrosoft.com contas para entrar visitando o portal do usuário do Azure Stack Hub. Para sistemas com vários nós, a URL do portal do usuário é formatada como https://portal.<region>.<FQDN>. Para uma implantação ASDK, a URL é https://portal.local.azurestack.external.
Mary também deve direcionar quaisquer entidades estrangeiras (usuários no diretório Adatum sem o sufixo de adatum.onmicrosoft.com) para entrar usando https://<user-portal-url>/adatum.onmicrosoft.com. Se eles não especificarem o locatário /adatum.onmicrosoft.com do diretório na URL, eles serão enviados para o diretório padrão e receberão um erro informando que o administrador não consentiu.
Cancelar o registro de um diretório de convidados
Se você não quiser mais permitir entradas nos serviços do Azure Stack Hub de um locatário de diretório convidado, poderá cancelar o registro do diretório. Novamente, o diretório inicial do Azure Stack Hub e o diretório convidado precisam ser configurados:
Como administrador do diretório convidado (Mary neste cenário), execute
Unregister-AzsWithMyDirectoryTenant. O cmdlet desinstala todos os aplicativos do Azure Stack Hub do novo diretório.## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as management.<region>.<FQDN>. $tenantARMEndpoint = "https://management.local.azurestack.external" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantName = "adatum.onmicrosoft.com" Unregister-AzsWithMyDirectoryTenant ` -TenantResourceManagerEndpoint $tenantARMEndpoint ` -DirectoryTenantName $guestDirectoryTenantName ` -VerboseComo administrador de serviço do Azure Stack Hub (você neste cenário), execute o
Unregister-AzSGuestDirectoryTenantcmdlet:## The following Azure Resource Manager endpoint is for the ASDK. If you're in a multinode environment, contact your operator or service provider to get the endpoint, formatted as adminmanagement.<region>.<FQDN>. $adminARMEndpoint = "https://adminmanagement.local.azurestack.external" ## Replace the value below with the Azure Stack Hub directory $azureStackDirectoryTenant = "contoso.onmicrosoft.com" ## Replace the value below with the guest directory tenant. $guestDirectoryTenantToBeDecommissioned = "adatum.onmicrosoft.com" ## Replace the value below with the name of the resource group in which the directory tenant resource was created (resource group must already exist). $ResourceGroupName = "system.local" Unregister-AzSGuestDirectoryTenant -AdminResourceManagerEndpoint $adminARMEndpoint ` -DirectoryTenantName $azureStackDirectoryTenant ` -GuestDirectoryTenantName $guestDirectoryTenantToBeDecommissioned ` -ResourceGroupName $ResourceGroupNameAviso
As etapas para desabilitar a multilocação devem ser executadas em ordem. A etapa #1 falhará se a etapa #2 for concluída primeiro.
Recuperar relatório de integridade de identidade do Azure Stack Hub
Substitua os <region>espaços reservados , <domain>e execute <homeDirectoryTenant> o cmdlet a seguir como administrador do Azure Stack Hub.
$AdminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
$DirectoryName = "<homeDirectoryTenant>.onmicrosoft.com"
$healthReport = Get-AzsHealthReport -AdminResourceManagerEndpoint $AdminResourceManagerEndpoint -DirectoryTenantName $DirectoryName
Write-Host "Healthy directories: "
$healthReport.directoryTenants | Where status -EQ 'Healthy' | Select -Property tenantName,tenantId,status | ft
Write-Host "Unhealthy directories: "
$healthReport.directoryTenants | Where status -NE 'Healthy' | Select -Property tenantName,tenantId,status | ft
Atualizar permissões de locatário do Microsoft Entra
Esta ação limpa um alerta no Azure Stack Hub, indicando que um diretório requer uma atualização. Execute o seguinte comando na pasta Azurestack-tools-master/identity :
Import-Module ..\Identity\AzureStack.Identity.psm1
$adminResourceManagerEndpoint = "https://adminmanagement.<region>.<domain>"
# This is the primary tenant Azure Stack Hub is registered to:
$homeDirectoryTenantName = "<homeDirectoryTenant>.onmicrosoft.com"
Update-AzsHomeDirectoryTenant -AdminResourceManagerEndpoint $adminResourceManagerEndpoint `
-DirectoryTenantName $homeDirectoryTenantName -Verbose
O script solicita credenciais administrativas no locatário do Microsoft Entra e leva vários minutos para ser executado. O alerta é apagado depois que você executa o cmdlet.
O gerenciamento baseado em portal não é suportado para esta versão
O gerenciamento de multilocação usando o portal do administrador só está disponível para as versões 2102 e posteriores. Selecione uma versão posterior usando o seletor na parte superior esquerda da página.
Registrar um diretório de convidados
Para registrar um diretório de convidado para multilocação, você precisa configurar o diretório inicial do Azure Stack Hub e o diretório de convidados.
Configurar o diretório do Azure Stack Hub
A primeira etapa é tornar seu sistema Azure Stack Hub ciente do diretório convidado. Neste exemplo, o diretório da empresa de Mary, Adatum, é chamado de adatum.onmicrosoft.com.
Entre no portal do administrador do Azure Stack Hub e vá para Todos os serviços - Diretórios.
Selecione Adicionar para iniciar o processo de integração. Digite o nome do diretório de convidado "adatum.onmicrosoft.com" e selecione Adicionar.
O diretório convidado aparece na exibição de lista, com um status de não registrado.
Apenas Mary tem as credenciais para se autenticar no diretório de convidados, então você deve enviar a ela o link para concluir o registro. Marque a caixa de seleção adatum.onmicrosoft.com e, em seguida, selecione Registrar.
É aberto um novo separador do browser. Selecione Copiar link na parte inferior da página e forneça-o a Mary.
Se você tiver as credenciais para o diretório de convidados, poderá concluir o registro selecionando Entrar.
Configurar diretório de convidado
Maria recebeu o e-mail com o link para cadastrar o diretório. Ela abre o link em um navegador e confirma a ID do Microsoft Entra e o ponto de extremidade do Azure Resource Manager do seu sistema Azure Stack Hub.
Mary entra usando suas credenciais de administrador para adatum.onmicrosoft.com.
Nota
Certifique-se de que os bloqueadores de pop-ups estão desativados antes de iniciar sessão.
Mary analisa o status do diretório e vê que ele não está registrado.
Mary seleciona Registrar para iniciar o processo.
Nota
Os objetos necessários para o Visual Studio Code podem não ser capazes de ser criados e devem usar o PowerShell.
Depois que o processo de registro for concluído, Mary pode revisar todos os aplicativos que foram criados no diretório e verificar seu status.
Mary concluiu com êxito o processo de registro e agora pode direcionar os usuários do Adatum com @adatum.onmicrosoft.com contas para entrar visitando o portal do usuário do Azure Stack Hub. Para sistemas com vários nós, a URL do portal do usuário é formatada como
https://portal.<region>.<FQDN>. Para uma implantação ASDK, a URL éhttps://portal.local.azurestack.external.
Importante
Pode levar até uma hora para o operador do Azure Stack ver o status do diretório atualizado no portal de administração.
Mary também deve direcionar quaisquer entidades estrangeiras (usuários no diretório Adatum sem o sufixo de adatum.onmicrosoft.com) para entrar usando https://<user-portal-url>/adatum.onmicrosoft.com. Se eles não especificarem o locatário /adatum.onmicrosoft.com do diretório na URL, eles serão enviados para o diretório padrão e receberão um erro informando que o administrador não consentiu.
Cancelar o registro de um diretório de convidados
Se você não quiser mais permitir entradas nos serviços do Azure Stack Hub de um locatário de diretório convidado, poderá cancelar o registro do diretório. Novamente, o diretório inicial do Azure Stack Hub e o diretório convidado precisam ser configurados:
Configurar diretório de convidado
Mary não usa mais serviços no Azure Stack Hub e deve remover os objetos. Ela abre novamente o URL que recebeu por e-mail para cancelar o registro do diretório. Antes de iniciar esse processo, Mary remove todos os recursos da assinatura do Azure Stack Hub.
Mary entra usando suas credenciais de administrador para adatum.onmicrosoft.com.
Nota
Certifique-se de que os bloqueadores de pop-ups estão desativados antes de iniciar sessão.
Maria vê o status do diretório.
Mary seleciona Cancelar registro para iniciar a ação.
Quando o processo terminar, o status será mostrado como Não registrado:
Mary conseguiu cancelar o registro do diretório adatum.onmicrosoft.com.
Nota
Pode levar até uma hora para mostrar o diretório como não registrado no portal de administração do Azure Stack.
Configurar o diretório do Azure Stack Hub
Como um operador do Azure Stack Hub, você pode remover o diretório convidado a qualquer momento, mesmo que Mary não tenha cancelado o registro do diretório anteriormente.
Entre no portal do administrador do Azure Stack Hub e vá para Todos os serviços - Diretórios.
Marque a caixa de seleção adatum.onmicrosoft.com diretório e, em seguida, selecione Remover.
Confirme a ação de exclusão digitando sim e selecionando Remover.
Você removeu o diretório com êxito.
Gerenciando as atualizações necessárias
As atualizações do Azure Stack Hub podem introduzir suporte para novas ferramentas ou serviços que podem exigir uma atualização do diretório base ou de convidado.
Como um operador do Azure Stack Hub, você recebe um alerta no portal de administração que informa sobre uma atualização de diretório necessária. Você também pode determinar se uma atualização é necessária para diretórios domésticos ou convidados exibindo o painel de diretórios no portal de administração. Cada listagem de diretório mostra o tipo de diretório. O tipo pode ser um diretório base ou convidado e seu status é mostrado.
Atualizar os diretórios do Azure Stack Hub
Quando uma atualização de diretório do Azure Stack Hub é necessária, um status de Atualização Necessária é mostrado. Por exemplo:
Para atualizar o diretório, marque a caixa de seleção Nome do diretório e selecione Atualizar.
Atualizar o diretório de convidados
Um operador do Azure Stack Hub também deve informar ao proprietário do diretório convidado que ele precisa atualizar seu diretório usando a URL compartilhada para registro. O operador pode reenviar o URL, mas ele não muda.
Mary, a proprietária do diretório de convidados, abre o URL que recebeu por e-mail quando registrou o diretório:
Mary entra usando suas credenciais de administrador para adatum.onmicrosoft.com. Certifique-se de que os bloqueadores de pop-ups estão desativados antes de iniciar sessão.
Mary vê o status do diretório dizendo que uma atualização é necessária.
A ação Atualizar está disponível para Mary atualizar o diretório de convidados. Pode levar até uma hora para mostrar o diretório conforme registrado no portal de administração do Azure Stack.
Capacidades adicionais
Um operador do Azure Stack Hub pode exibir as assinaturas associadas a um diretório. Além disso, cada diretório tem uma ação para gerenciar o diretório diretamente no portal do Azure. Para gerenciar, o diretório de destino deve ter permissões de gerenciamento no portal do Azure.