驗證 Azure 身分識別

發行項
11/23/2024

使用 Azure Stack Hub 整備檢查程式工具 (AzsReadinessChecker) 來驗證 Microsoft Entra ID 是否已準備好與 Azure Stack Hub 搭配使用。開始部署 Azure Stack Hub 之前，請先驗證 Azure 身分識別解決方案。

整備檢查程式會驗證：

作為 Azure Stack Hub 識別提供者的 Microsoft Entra ID。
您打算使用的Microsoft Entra 帳戶可以以您Microsoft Entra 識別符的應用程式管理員身分登入。

驗證可確保環境已準備好讓 Azure Stack Hub 在 Microsoft Entra ID 中儲存 Azure Stack Hub 使用者、應用程式、群組和服務主體的相關資訊。

取得整備檢查工具

從 PowerShell 資源庫下載最新版的 Azure Stack Hub 整備檢查程式工具 (AzsReadinessChecker)。

必要條件

需要下列必要條件：

Az PowerShell 模組

您將需要安裝 Az PowerShell 模組。如需指示，請參閱安裝PowerShell Az預覽模組。

Microsoft Entra 環境

識別要用於 Azure Stack Hub 的Microsoft Entra 帳戶，並確定它是Microsoft Entra 應用程式管理員。
識別您的 Microsoft Entra 租用戶名稱。租用戶名稱必須是 Microsoft Entra ID 的主要網域名稱。例如，contoso.onmicrosoft.com。

驗證 Azure 身分識別的步驟

在符合必要條件的電腦上，開啟提高權限的 PowerShell 命令提示字元，然後執行下列命令以安裝 AzsReadinessChecker：

Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
Install-AzProfile -Profile 2020-09-01-hybrid -Force
Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease

從 PowerShell 命令提示字元，執行下列命令。 contoso.onmicrosoft.com取代為您的 Microsoft Entra 租使用者名稱：
```
Connect-AzAccount -tenant contoso.onmicrosoft.com
```
從 PowerShell 命令提示字元，執行下列命令以開始驗證您的 Microsoft Entra ID。 contoso.onmicrosoft.com取代為您的 Microsoft Entra 租使用者名稱：
```
Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
```

在此工具執行之後，請檢閱輸出。確認狀態是符合安裝需求。成功的驗證會出現類似下列範例：

Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
Starting Azure Identity Validation

Checking Installation Requirements: OK

Finished Azure Identity Validation

Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

必要條件

需要下列必要條件：

AzureRM PowerShell 模組

您將需要安裝 Az PowerShell 模組。如需指示，請參閱安裝PowerShell AzureRM模組。

工具執行所在的計算機

具有因特網連線功能的 Windows 10 或 Windows Server 2016。
PowerShell 5.1 或更新版本。若要檢查您的版本，請執行下列 PowerShell 命令，然後檢閱主要版本和次要版本：
```
$PSVersionTable.PSVersion
```
針對 Azure Stack Hub 設定的 PowerShell。
最新版的 Microsoft Azure Stack Hub 整備檢查工具。

Microsoft Entra 環境

識別要用於 Azure Stack Hub 的Microsoft Entra 帳戶，並確定它是Microsoft Entra 應用程式管理員。
識別您的 Microsoft Entra 租用戶名稱。租用戶名稱必須是 Microsoft Entra ID 的主要網域名稱。例如，contoso.onmicrosoft.com。
識別您將使用的 Azure 環境。環境名稱參數的支援值為 AzureCloud、AzureChinaCloud 或 AzureUSGovernment，視您使用的 Azure 訂用帳戶而定。

驗證 Azure 身分識別的步驟

在符合必要條件的電腦上，開啟提高權限的 PowerShell 命令提示字元，然後執行下列命令以安裝 AzsReadinessChecker：
```
Install-Module Microsoft.AzureStack.ReadinessChecker -RequiredVersion 1.2100.1396.426
```
從 PowerShell 提示字元中，執行下列命令，以設定 $serviceAdminCredential 為 Microsoft Entra 租使用者的服務管理員。以您的帳號與租使用者名稱取代 serviceadmin\@contoso.onmicrosoft.com ：
```
$serviceAdminCredential = Get-Credential serviceadmin@contoso.onmicrosoft.com -Message "Enter credentials for service administrator of Azure Active Directory tenant"
```
從 PowerShell 提示字元中，執行下列命令以開始驗證您的Microsoft Entra 識別碼：
- 指定 AzureEnvironment 的環境名稱值。環境名稱參數的支援值為 AzureCloud、AzureChinaCloud 或 AzureUSGovernment，視您使用的 Azure 訂用帳戶而定。
- 將取代 contoso.onmicrosoft.com 為您的 Microsoft Entra 租用戶名稱。
```
Invoke-AzsAzureIdentityValidation -AADServiceAdministrator $serviceAdminCredential -AzureEnvironment <environment name> -AADDirectoryTenantName contoso.onmicrosoft.com
```

在此工具執行之後，請檢閱輸出。確認狀態是符合安裝需求。成功的驗證會出現類似下列範例：

Invoke-AzsAzureIdentityValidation 2100.1396.426 started.
Starting Azure Identity Validation

Checking Installation Requirements: OK

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

報告與記錄檔

每次執行驗證時，都會將結果記錄到 AzsReadinessChecker.log 並 AzsReadinessCheckerReport.json。 PowerShell 中的驗證結果會一同顯示這些檔案的位置。

這些檔案可協助您在部署 Azure Stack Hub 或調查驗證問題之前共用驗證狀態。這兩個檔案會保存每個後續驗證檢查的結果。此報告會向部署小組提供身分識別設定的確認。記錄檔可協助部署或支援小組調查驗證問題。

這兩個檔案預設都會寫入至 C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json。

在執行的命令列結尾使用 -OutputPath <path> 參數以指定不同的報告位置。
在執行的命令結尾使用 -CleanReport 參數，從 AzsReadinessCheckerReport.json 清除先前執行工具時留下的資訊。

如需詳細資訊，請參閱 Azure Stack Hub 驗證報告。

驗證失敗

如果驗證檢查失敗，PowerShell 視窗中顯示失敗的詳細數據。此工具也會將信息記錄至AzsReadinessChecker.log檔案。

下列範例提供常見驗證失敗的指引。

過期或暫時密碼

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

原因 - 帳戶無法登入，因為密碼已過期或暫時。

解決方案 - 在 PowerShell 中，執行下列命令，然後依照提示重設密碼：

Login-AzureRMAccount

另一種方式是以帳戶擁有者身分登入 Azure 入口網站，而使用者將被迫變更密碼。

未知使用者類型

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

原因 - 帳戶無法登入指定的Microsoft Entra ID （AADDirectoryTenantName）。在此範例中， AzureChinaCloud 會指定為 AzureEnvironment。

解決方案 - 確認帳戶對指定的 Azure 環境有效。在 PowerShell 中，執行下列命令來確認帳戶對特定環境有效：

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

後續步驟

驗證 Azure 註冊
 檢視整備報告
 一般 Azure Stack Hub 整合考慮

共用方式為

驗證 Azure 身分識別

取得整備檢查工具

安裝及設定

必要條件

Az PowerShell 模組

Microsoft Entra 環境

驗證 Azure 身分識別的步驟

必要條件

AzureRM PowerShell 模組

工具執行所在的計算機

Microsoft Entra 環境

驗證 Azure 身分識別的步驟

報告與記錄檔

驗證失敗

過期或暫時密碼

未知使用者類型

後續步驟

意見反應

其他資源