Azure ID の検証
Azure Stack Hub 適合性チェッカー ツール (AzsReadinessChecker) を使用して、Microsoft Entra ID が Azure Stack Hub で使用できる状態であることを検証します。 Azure Stack Hub のデプロイを開始する前に、Azure ID ソリューションを検証します。
適合性チェッカーは以下を検証します。
- azure Stack Hub の ID プロバイダーとして ID をMicrosoft Entraします。
- 使用する予定のMicrosoft Entra アカウントは、Microsoft Entra ID のグローバル管理者としてサインインできます。
検証により、Azure Stack Hub のユーザー、アプリケーション、グループ、サービス プリンシパルに関する情報を Azure Stack Hub からMicrosoft Entra ID に格納する環境の準備が整います。
適合性チェッカー ツールを取得する
最新バージョンの Azure Stack Hub 適合性チェッカー ツール (AzsReadinessChecker) を PowerShell ギャラリーからダウンロードします。
インストールと構成
前提条件
以下の前提条件が必要です。
Az PowerShell モジュール
Az PowerShell モジュールをインストールしておく必要があります。 手順については、「PowerShell Az プレビュー モジュールをインストールする」を参照してください。
Microsoft Entra 環境
- Azure Stack Hub に使用するMicrosoft Entra アカウントを特定し、Microsoft Entraグローバル管理者であることを確認します。
- Microsoft Entraテナント名を特定します。 テナント名は、Microsoft Entra ID のプライマリ ドメイン名である必要があります。 (例: contoso.onmicrosoft.com)。
Azure ID を検証する手順
前提条件を満たしているコンピューターで、管理者特権の PowerShell コマンド プロンプトを開き、次のコマンドを実行して、AzsReadinessChecker をインストールします。
Install-Module -Name Az.BootStrapper -Force -AllowPrerelease Install-AzProfile -Profile 2020-09-01-hybrid -Force Install-Module -Name Microsoft.AzureStack.ReadinessChecker -AllowPrereleasePowerShell プロンプトから、次のコマンドを実行します。 をMicrosoft Entraテナント名に置き換えます
contoso.onmicrosoft.com。Connect-AzAccount -tenant contoso.onmicrosoft.comPowerShell プロンプトから次のコマンドを実行して、Microsoft Entra ID の検証を開始します。 をMicrosoft Entraテナント名に置き換えます
contoso.onmicrosoft.com。Invoke-AzsAzureIdentityValidation -AADDirectoryTenantName contoso.onmicrosoft.comツールの実行後、出力を確認します。 インストールの要件について、状態が OK であることを確認します。 次の図のように、検証が成功したことが表示されます。
Invoke-AzsAzureIdentityValidation v1.2100.1448.484 started. Starting Azure Identity Validation Checking Installation Requirements: OK Finished Azure Identity Validation Log location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log Report location (contains PII): C:\Users\[*redacted*]\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json Invoke-AzsAzureIdentityValidation Completed
レポートとログ ファイル
検証を実行するたびに、結果のログが AzsReadinessChecker.log と AzsReadinessCheckerReport.json に出力されます。 これらのファイルの場所は、PowerShell に検証結果と共に表示されます。
これらのファイルは、Azure Stack Hub をデプロイする前、または検証に関する問題を調査する前に、検証の状態を共有するときに役立ちます。 両方のファイルに、以降の各検証チェックの結果が保持されます。 デプロイ チームはこのレポートを使用して ID 構成を確認できます。 デプロイ チームやサポート チームは、検証の問題を調査する際に、このログ ファイルを役立たせることができます。
既定では、両方のファイルが C:\Users\<username>\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json に書き込まれます
- 別のレポートの場所を指定するには、実行コマンド ラインの末尾に
-OutputPath <path>パラメーターを使用します。 - ツールの以前の実行に関する情報を AzsReadinessCheckerReport.json からクリアするには、実行コマンド ラインの末尾に
-CleanReportパラメーターを使用します。
詳細については、「Azure Stack Hub 検証レポート」を参照してください。
検証エラー
検証チェックに失敗した場合は、エラーの詳細が PowerShell ウィンドウに表示されます。 また、ツールによって、AzsReadinessChecker.log ファイルにログ情報が記録されます。
次の例は、一般的な検証エラーに関するガイダンスです。
期限切れまたは一時パスワード
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The password for account has expired or is a temporary password that needs to be reset before continuing. Run Login-AzureRMAccount, login with credentials and follow the prompts to reset.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
原因 - パスワードの有効期限が切れているか一時パスワードであるため、アカウントでサインインできません。
解決策 - PowerShell で次のコマンドを実行し、プロンプトに従ってパスワードをリセットします。
Login-AzureRMAccount
別の方法として、Azure portal にアカウント所有者としてサインインすることがあります。この場合、ユーザーはパスワードの変更を強制されます。
ユーザーの種類が不明
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
Unknown user type detected. Check the account is valid for AzureChinaCloud
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
原因 - アカウントは、指定したMicrosoft Entra ID (AADDirectoryTenantName) にサインインできません。 この例では、AzureChinaCloud が AzureEnvironment として指定されています。
解決策 - 指定した Azure 環境に対してアカウントが有効であることを確認します。 PowerShell で次のコマンドを実行して、特定の環境に対してアカウントが有効であることを確認します。
Login-AzureRmAccount -EnvironmentName AzureChinaCloud
アカウントが管理者ではない
Invoke-AzsAzureIdentityValidation v1.1809.1005.1 started.
Starting Azure Identity Validation
Checking Installation Requirements: Fail
Error Details for Service Administrator Account admin@contoso.onmicrosoft.com
The Service Admin account you entered 'admin@contoso.onmicrosoft.com' is not an administrator of the Azure Active Directory tenant 'contoso.onmicrosoft.com'.
Additional help URL https://aka.ms/AzsRemediateAzureIdentity
Finished Azure Identity Validation
Log location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessChecker.log
Report location (contains PII): C:\Users\username\AppData\Local\Temp\AzsReadinessChecker\AzsReadinessCheckerReport.json
Invoke-AzsAzureIdentityValidation Completed
原因 - アカウントは正常にサインインできますが、アカウントはMicrosoft Entra ID (AADDirectoryTenantName) の管理者ではありません。
解決策 - アカウント所有者としてAzure portalにサインインし、[Microsoft Entra ID]、[ユーザー]、[ユーザーの選択] の順に移動します。 次に、 [ディレクトリ ロール] を選択して、ユーザーがグローバル管理者であることを確認します。 アカウントがユーザーの場合は、Microsoft Entra ID>カスタム ドメイン名に移動し、AADDirectoryTenantName に指定した名前がこのディレクトリのプライマリ ドメイン名としてマークされていることを確認します。 この例では、contoso.onmicrosoft.com です。
Azure Stack Hub では、ドメイン名がプライマリ ドメイン名である必要があります。
次の手順
Azure の登録を検証する
対応状況レポートを表示する
Azure Stack Hub の統合に関する一般的な考慮事項