Verifiera Azure-identitet

Använd verktyget Azure Stack Hub Readiness Checker (AzsReadinessChecker) för att verifiera att ditt Microsoft Entra-ID är redo att användas med Azure Stack Hub. Verifiera din Azure-identitetslösning innan du påbörjar en Azure Stack Hub-distribution.

Beredskapskontrollen verifierar:

• Microsoft Entra-ID som identitetsprovider för Azure Stack Hub.
• Det Microsoft Entra-konto som du planerar att använda kan logga in som programadministratör för ditt Microsoft Entra-ID.

Validering säkerställer att din miljö är redo för Azure Stack Hub att lagra information om användare, program, grupper och tjänstens huvudnamn från Azure Stack Hub i ditt Microsoft Entra-ID.

Hämta verktyget för beredskapskontroll

Ladda ned den senaste versionen av verktyget Azure Stack Hub Readiness Checker (AzsReadinessChecker) från PowerShell-galleriet.

Installera och konfigurera

Az PowerShell

Förutsättningar

Följande krav krävs:

Az PowerShell-moduler

Du måste ha Az PowerShell-modulerna installerade. Anvisningar finns i Installera PowerShell Az-förhandsgranskningsmodulen.

Microsoft Entra-miljö

• Identifiera det Microsoft Entra-konto som ska användas för Azure Stack Hub och se till att det är en Microsoft Entra-programadministratör.
• Identifiera ditt Microsoft Entra-klientnamn. Klientorganisationens namn måste vara det primära domännamnet för ditt Microsoft Entra-ID. Till exempel contoso.onmicrosoft.com.

Steg för att verifiera Azure-identitet

1. På en dator som uppfyller kraven öppnar du en upphöjd PowerShell-kommandotolk och kör sedan följande kommando för att installera AzsReadinessChecker:

   Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
   Install-AzProfile -Profile 2020-09-01-hybrid -Force
   Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
   

2. Kör följande kommando i PowerShell-prompten. Ersätt contoso.onmicrosoft.com med ditt Microsoft Entra-klientnamn:

   Connect-AzAccount -tenant contoso.onmicrosoft.com
   

3. Från PowerShell-prompten kör du följande kommando för att starta valideringen av ditt Microsoft Entra-ID. Ersätt contoso.onmicrosoft.com med ditt Microsoft Entra-klientnamn:

   Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
   

4. När verktyget har körts granskar du utdata. Bekräfta att statusen är OK för installationskrav. En lyckad validering visas som i följande exempel:

   Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

AzureRM PowerShell

Förutsättningar

Följande krav krävs:

AzureRM PowerShell-moduler

Du måste ha Az PowerShell-modulerna installerade. Anvisningar finns i Installera PowerShell AzureRM-modulen.

Datorn där verktyget körs

• Windows 10 eller Windows Server 2016 med internetanslutning.
• PowerShell 5.1 eller senare. Om du vill kontrollera din version kör du följande PowerShell-kommando och granskar sedan huvudversionen och delversionerna:

  $PSVersionTable.PSVersion
  

• PowerShell har konfigurerats för Azure Stack Hub.
• Den senaste versionen av verktyget Beredskapskontroll för Microsoft Azure Stack Hub.

Microsoft Entra-miljö

• Identifiera det Microsoft Entra-konto som ska användas för Azure Stack Hub och se till att det är en Microsoft Entra-programadministratör.
• Identifiera ditt Microsoft Entra-klientnamn. Klientorganisationens namn måste vara det primära domännamnet för ditt Microsoft Entra-ID. Till exempel contoso.onmicrosoft.com.
• Identifiera den Azure-miljö som du ska använda. Värden som stöds för parametern miljönamn är AzureCloud, AzureChinaCloud eller AzureUSGovernment, beroende på vilken Azure-prenumeration du använder.

Steg för att verifiera Azure-identitet

1. På en dator som uppfyller kraven öppnar du en upphöjd PowerShell-kommandotolk och kör sedan följande kommando för att installera AzsReadinessChecker:

   Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
   

2. Från PowerShell-prompten kör du följande kommando för att ange $serviceAdminCredential som tjänstadministratör för din Microsoft Entra-klientorganisation. Ersätt serviceadmin\@contoso.onmicrosoft.com med ditt konto och klientnamn:

   $serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
   

3. Från PowerShell-prompten kör du följande kommando för att starta valideringen av ditt Microsoft Entra-ID:

   • Ange miljönamnsvärdet för AzureEnvironment. Värden som stöds för parametern miljönamn är AzureCloud, AzureChinaCloud eller AzureUSGovernment, beroende på vilken Azure-prenumeration du använder.
   • Ersätt contoso.onmicrosoft.com med ditt Microsoft Entra-klientnamn.

   Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
   

4. När verktyget har körts granskar du utdata. Bekräfta att statusen är OK för installationskrav. En lyckad validering visas som i följande exempel:

   Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
   Starting Azure Identity Validation
   
   Checking Installation Requirements: OK
   
   Finished Azure Identity Validation
   
   Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
   Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
   Invoke-AzsAzureIdentityValidation Completed
   

Rapport- och loggfil

Varje gång valideringen körs loggar den resultat till AzsReadinessChecker.log och AzsReadinessCheckerReport.json. Platsen för dessa filer visas med valideringsresultatet i PowerShell.

De här filerna kan hjälpa dig att dela valideringsstatus innan du distribuerar Azure Stack Hub eller undersöker valideringsproblem. Båda filerna bevarar resultatet av varje efterföljande verifieringskontroll. Rapporten ger distributionsteamet en bekräftelse av identitetskonfigurationen. Loggfilen kan hjälpa distributions- eller supportteamet att undersöka valideringsproblem.

Som standard skrivs båda filerna till C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json.

• Använd parametern -OutputPath <path> i slutet av körningskommandoraden för att ange en annan rapportplats.
• Använd parametern -CleanReport i slutet av körningskommandot för att rensa information om tidigare körningar av verktyget från AzsReadinessCheckerReport.json.

Mer information finns i Valideringsrapport för Azure Stack Hub.

Valideringsfel

Om en verifieringskontroll misslyckas visas information om felet i PowerShell-fönstret. Verktyget loggar även information till filen AzsReadinessChecker.log.

Följande exempel ger vägledning om vanliga valideringsfel.

Utgånget eller tillfälligt lösenord

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Orsak – Kontot kan inte logga in eftersom lösenordet antingen har upphört att gälla eller är tillfälligt.

Lösning – Kör följande kommando i PowerShell och följ sedan anvisningarna för att återställa lösenordet:

Login-AzureRMAccount

Ett annat sätt är att logga in på Azure Portal som kontoägare och användaren tvingas ändra lösenordet.

Okänd användartyp

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

Orsak – Kontot kan inte logga in på angivet Microsoft Entra-ID (AADDirectoryTenantName). I det här exemplet anges AzureChinaCloud som AzureEnvironment.

Lösning – Bekräfta att kontot är giltigt för den angivna Azure-miljön. I PowerShell kör du följande kommando för att kontrollera att kontot är giltigt för en specifik miljö:

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

Nästa steg

Verifiera Azure-registrering
Visa beredskapsrapporten
Allmänna överväganden för Azure Stack Hub-integrering