Validación de la identidad de Azure
Use la herramienta Azure Stack Readiness Checker (AzsReadinessChecker) para validar que su instancia de Microsoft Entra ID está lista para usarse con Azure Stack Hub. Antes de empezar a implementar Azure Stack Hub, valide la solución de identidad de Azure.
La herramienta Readiness Checker valida:
- Microsoft Entra ID como proveedor de identidades de Azure Stack Hub.
- La cuenta de Microsoft Entra que planea usar puede iniciar sesión como administrador de la aplicación de su identificador de Microsoft Entra.
La validación garantiza que el entorno está listo para que Azure Stack Hub almacene información sobre los usuarios, las aplicaciones, los grupos y las entidades de servicio de Azure Stack Hub en la instancia de Microsoft Entra ID.
Obtención de la herramienta Readiness Checker
Descargue la versión más reciente de la herramienta Azure Stack Hub Readiness Checker (AzsReadinessChecker) desde la Galería de PowerShell.
Instalar y configurar
Requisitos previos
Se necesitan los siguientes requisitos previos:
Módulos Az de PowerShell
Tendrá que tener instalados los módulos Az de PowerShell. Para obtener instrucciones, consulte Instalación del módulo Az de PowerShell en versión preliminar.
Entorno de Microsoft Entra
- Identifique la cuenta de Microsoft Entra que se va a usar para Azure Stack Hub y asegúrese de que es un administrador de aplicaciones de Microsoft Entra.
- Identifique el nombre del inquilino de Microsoft Entra. El nombre del inquilino debe ser el nombre de dominio principal de Microsoft Entra ID. Por ejemplo, contoso.onmicrosoft.com.
Pasos para validar la identidad de Azure
En un equipo que cumpla los requisitos previos, abra un símbolo del sistema de comandos de PowerShell con privilegios elevados y ejecute el siguiente comando para instalar AzsReadinessChecker:
Install-Module -Name Az.BootStrapper -Force -AllowPrerelease Install-AzProfile -Profile 2020-09-01-hybrid -Force Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
En el símbolo del sistema de PowerShell, ejecute el siguiente comando. Reemplace por
contoso.onmicrosoft.com
el nombre del inquilino de Microsoft Entra:Connect-AzAccount -tenant contoso.onmicrosoft.com
Desde el símbolo del sistema de PowerShell, ejecute el siguiente comando para iniciar la validación de Microsoft Entra ID. Reemplace por
contoso.onmicrosoft.com
el nombre del inquilino de Microsoft Entra:Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com
Después de ejecutar la herramienta, revise el resultado. Confirme que el estado es correcto para los requisitos de instalación. Una validación correcta tiene un aspecto similar al del siguiente ejemplo:
Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started. Starting Azure Identity Validation Checking Installation Requirements: OK Finished Azure Identity Validation Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json Invoke-AzsAzureIdentityValidation Completed
Informe y archivo de registro
Cada vez que se ejecuta la validación, los resultados se registran en AzsReadinessChecker.log y AzsReadinessCheckerReport.json. La ubicación de estos archivos se muestra con los resultados de validación de PowerShell.
Estos archivos pueden ayudarle a compartir el estado de validación antes de implementar Azure Stack Hub o de investigar problemas de validación. Ambos archivos conservan los resultados de cada comprobación de validación posterior. El informe ofrece la confirmación del equipo de implementación de la configuración de identidad. El archivo de registro puede ayudar al equipo de implementación o de soporte técnico a investigar los problemas de validación.
De forma predeterminada, ambos archivos se escriben en C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
.
- Use el parámetro
-OutputPath <path>
al final de la línea de comandos de ejecución para especificar otra ubicación para el informe. - Use el parámetro
-CleanReport
al final del comando de ejecución para borrar la información de ejecuciones anteriores de la herramienta desde AzsReadinessCheckerReport.json.
Para más información, consulte Informe de validación para Azure Stack Hub.
Errores de validación
Si se producen errores en una comprobación de validación, los detalles sobre los errores se muestran en la ventana de PowerShell. La herramienta también registra información en el archivo AzsReadinessChecker.log.
Los ejemplos siguientes ofrecen instrucciones sobre errores de validación comunes.
Contraseña temporal o expirada
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Causa: la cuenta no puede iniciar sesión porque la contraseña es temporal o ha expirado.
Resolución: en PowerShell, ejecute el siguiente comando y siga los avisos para restablecer la contraseña:
Login-AzureRMAccount
O bien, inicie sesión en Azure Portal como propietario de la cuenta y el usuario se verá obligado a cambiar la contraseña.
Tipo de usuario desconocido
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
Causa : la cuenta no puede iniciar sesión en el id. de Microsoft Entra especificado (AADDirectoryTenantName). En este ejemplo, AzureChinaCloud se especifica como valor de AzureEnvironment.
Resolución: confirme que la cuenta es válida para el entorno de Azure especificado. En PowerShell, ejecute el siguiente comando para comprobar que la cuenta es válida para un entorno concreto:
Login-AzureRmAccount -EnvironmentName AzureChinaCloud
Pasos siguientes
Validación del registro de Azure
Vista del informe de preparación
Consideraciones generales sobre la integración de Azure Stack Hub