Azure ID の検証

Azure Stack Hub 適合性チェッカー ツール (AzsReadinessChecker) を使用して、Microsoft Entra ID が Azure Stack Hub で使用できる状態であることを検証します。 Azure Stack Hub のデプロイを開始する前に、Azure ID ソリューションを検証します。

適合性チェッカーは以下を検証します。

  • azure Stack Hub の ID プロバイダーとして ID をMicrosoft Entraします。
  • 使用する予定のMicrosoft Entra アカウントは、Microsoft Entra ID のグローバル管理者としてサインインできます。

検証により、Azure Stack Hub のユーザー、アプリケーション、グループ、サービス プリンシパルに関する情報を Azure Stack Hub からMicrosoft Entra ID に格納する環境の準備が整います。

適合性チェッカー ツールを取得する

最新バージョンの Azure Stack Hub 適合性チェッカー ツール (AzsReadinessChecker) を PowerShell ギャラリーからダウンロードします。

インストールと構成

前提条件

以下の前提条件が必要です。

Az PowerShell モジュール

Az PowerShell モジュールをインストールしておく必要があります。 手順については、「PowerShell Az プレビュー モジュールをインストールする」を参照してください。

Microsoft Entra 環境

  • Azure Stack Hub に使用するMicrosoft Entra アカウントを特定し、Microsoft Entraグローバル管理者であることを確認します。
  • Microsoft Entraテナント名を特定します。 テナント名は、Microsoft Entra ID のプライマリ ドメイン名である必要があります。 (例: contoso.onmicrosoft.com)。

Azure ID を検証する手順

  1. 前提条件を満たしているコンピューターで、管理者特権の PowerShell コマンド プロンプトを開き、次のコマンドを実行して、AzsReadinessChecker をインストールします。

    Install-Module -Name Az.BootStrapper -Force -AllowPrerelease
    Install-AzProfile -Profile 2020-09-01-hybrid -Force
    Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrerelease
    
  2. PowerShell プロンプトから、次のコマンドを実行します。 をMicrosoft Entraテナント名に置き換えますcontoso.onmicrosoft.com

    Connect-AzAccount -tenant contoso.onmicrosoft.com
    
  3. PowerShell プロンプトから次のコマンドを実行して、Microsoft Entra ID の検証を開始します。 をMicrosoft Entraテナント名に置き換えますcontoso.onmicrosoft.com

    Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.com 
    
  4. ツールの実行後、出力を確認します。 インストールの要件について、状態が OK であることを確認します。 次の図のように、検証が成功したことが表示されます。

    Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started.
    Starting Azure Identity Validation
    
    Checking Installation Requirements: OK
    
    Finished Azure Identity Validation
    
    Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
    Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
    Invoke-AzsAzureIdentityValidation Completed
    

レポートとログ ファイル

検証を実行するたびに、結果のログが AzsReadinessChecker.logAzsReadinessCheckerReport.json に出力されます。 これらのファイルの場所は、PowerShell に検証結果と共に表示されます。

これらのファイルは、Azure Stack Hub をデプロイする前、または検証に関する問題を調査する前に、検証の状態を共有するときに役立ちます。 両方のファイルに、以降の各検証チェックの結果が保持されます。 デプロイ チームはこのレポートを使用して ID 構成を確認できます。 デプロイ チームやサポート チームは、検証の問題を調査する際に、このログ ファイルを役立たせることができます。

既定では、両方のファイルが C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json に書き込まれます

  • 別のレポートの場所を指定するには、実行コマンド ラインの末尾に -OutputPath <path> パラメーターを使用します。
  • ツールの以前の実行に関する情報を AzsReadinessCheckerReport.json からクリアするには、実行コマンド ラインの末尾に -CleanReport パラメーターを使用します。

詳細については、「Azure Stack Hub 検証レポート」を参照してください。

検証エラー

検証チェックに失敗した場合は、エラーの詳細が PowerShell ウィンドウに表示されます。 また、ツールによって、AzsReadinessChecker.log ファイルにログ情報が記録されます。

次の例は、一般的な検証エラーに関するガイダンスです。

期限切れまたは一時パスワード

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account  has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with  credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

原因 - パスワードの有効期限が切れているか一時パスワードであるため、アカウントでサインインできません。

解決策 - PowerShell で次のコマンドを実行し、プロンプトに従ってパスワードをリセットします。

Login-AzureRMAccount

別の方法として、Azure portal にアカウント所有者としてサインインすることがあります。この場合、ユーザーはパスワードの変更を強制されます。

ユーザーの種類が不明

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account  is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

原因 - アカウントは、指定したMicrosoft Entra ID (AADDirectoryTenantName) にサインインできません。 この例では、AzureChinaCloudAzureEnvironment として指定されています。

解決策 - 指定した Azure 環境に対してアカウントが有効であることを確認します。 PowerShell で次のコマンドを実行して、特定の環境に対してアカウントが有効であることを確認します。

Login-AzureRmAccount -EnvironmentName AzureChinaCloud

アカウントが管理者ではない

Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation

Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity

Finished Azure Identity Validation

Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed

原因 - アカウントは正常にサインインできますが、アカウントはMicrosoft Entra ID (AADDirectoryTenantName) の管理者ではありません。

解決策 - アカウント所有者としてAzure portalにサインインし、[Microsoft Entra ID]、[ユーザー]、[ユーザーの選択] の順に移動します。 次に、 [ディレクトリ ロール] を選択して、ユーザーがグローバル管理者であることを確認します。 アカウントがユーザーの場合は、Microsoft Entra ID>カスタム ドメイン名に移動し、AADDirectoryTenantName に指定した名前がこのディレクトリのプライマリ ドメイン名としてマークされていることを確認します。 この例では、contoso.onmicrosoft.com です。

Azure Stack Hub では、ドメイン名がプライマリ ドメイン名である必要があります。

次の手順

Azure の登録を検証する
対応状況レポートを表示する
Azure Stack Hub の統合に関する一般的な考慮事項