Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Azure Local 2311.2 und höher
In diesem Artikel wird beschrieben, wie Sie die erforderlichen Berechtigungen für Ihr Abonnement einrichten, um Azure Local bereitzustellen.
Prerequisites
Voraussetzungen für den lokalen Azure-Computer
- Vollständige Voraussetzungen und vollständige Bereitstellungsprüfliste für Ihre Umgebung.
- Vorbereiten der Active Directory-Umgebung .
- Laden Sie die Software herunter, und installieren Sie das Azure Stack HCI-Betriebssystem, Version 23H2 auf jedem Computer.
Voraussetzungen für Azure
Registrieren Sie die erforderlichen Ressourcenanbieter. Stellen Sie sicher, dass Ihr Azure-Abonnement für die erforderlichen Ressourcenanbieter registriert ist. Um sich zu registrieren, müssen Sie Besitzer oder Mitwirkender in Ihrem Abonnement sein. Sie können auch einen Administrator bitten, sich zu registrieren.
Führen Sie zum Registrieren die folgenden PowerShell-Befehle aus:
Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridCompute" Register-AzResourceProvider -ProviderNamespace "Microsoft.GuestConfiguration" Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridConnectivity" Register-AzResourceProvider -ProviderNamespace "Microsoft.AzureStackHCI" Register-AzResourceProvider -ProviderNamespace "Microsoft.Kubernetes" Register-AzResourceProvider -ProviderNamespace "Microsoft.KubernetesConfiguration" Register-AzResourceProvider -ProviderNamespace "Microsoft.ExtendedLocation" Register-AzResourceProvider -ProviderNamespace "Microsoft.ResourceConnector" Register-AzResourceProvider -ProviderNamespace "Microsoft.HybridContainerService" Register-AzResourceProvider -ProviderNamespace "Microsoft.Attestation" Register-AzResourceProvider -ProviderNamespace "Microsoft.Storage" Register-AzResourceProvider -ProviderNamespace "Microsoft.Insights"Note
- Es wird davon ausgegangen, dass die Person, die das Azure-Abonnement bei den Ressourcenanbietern registriert, eine andere Person ist als die, die die Azure Local Machines bei Arc registriert.
-
Microsoft.InsightsDer Ressourcenanbieter ist für die Überwachung und Protokollierung erforderlich. Wenn dieses RP nicht registriert ist, schlägt die Diagnosekonto- und Key Vault-Überwachungsprotokollierung während der Überprüfung fehl.
Erstellen Sie eine Ressourcengruppe. Führen Sie die Schritte zum Erstellen einer Ressourcengruppe aus, in der Sie Ihre Computer registrieren möchten. Notieren Sie sich den Ressourcengruppennamen und die zugehörige Abonnement-ID.
Rufen Sie die Mandanten-ID ab. Führen Sie die Schritte unter Abrufen der Mandanten-ID Ihres Microsoft Entra-Mandanten über das Azure-Portal aus:
Wechseln Sie im Azure-Portal zu "Microsoft Entra ID>Properties".
Scrollen Sie nach unten zum Abschnitt "Mandanten-ID", und kopieren Sie den Wert der Mandanten-ID , der später verwendet werden soll.
Überprüfen Sie die Berechtigungen. Stellen Sie beim Registrieren von Computern als Arc-Ressourcen sicher, dass Sie entweder der Besitzer der Ressourcengruppe sind oder über die folgenden Berechtigungen für die Ressourcengruppe verfügen, in der die Computer bereitgestellt werden:
-
Azure Connected Machine Onboarding. -
Azure Connected Machine Resource Administrator.
Um zu überprüfen, ob Sie über diese Rollen verfügen, führen Sie die folgenden Schritte im Azure-Portal aus:
Wechseln Sie zu dem Abonnement, das Sie für die lokale Azure-Bereitstellung verwendet haben.
Wechseln Sie zu der Ressourcengruppe, in der Sie den Computer registrieren möchten.
Wechseln Sie im linken Bereich zu Access Control (IAM).
Wechseln Sie im rechten Bereich zu Rollenzuweisungen. Vergewissern Sie sich, dass Ihnen die Rollen
Azure Connected Machine OnboardingundAzure Connected Machine Resource Administratorzugewiesen sind.
-
Prüfen Sie Ihre Azure-Richtlinien. Stellen Sie Folgendes sicher:
- Die Azure-Richtlinien blockieren die Installation von Erweiterungen nicht.
- Die Azure-Richtlinien blockieren nicht die Erstellung von bestimmten Ressourcentypen in einer Ressourcengruppe.
- Die Azure-Richtlinien blockieren die Bereitstellung von Ressourcen an bestimmten Standorten nicht.
Zuweisen von Azure-Berechtigungen für die Bereitstellung
Führen Sie die folgenden Schritte aus, um Azure-Berechtigungen für die Bereitstellung über das Azure-Portal zuzuweisen.
Wechseln Sie im Azure-Portal zum Abonnement, das zum Registrieren der Computer verwendet wird. Wählen Sie im linken Bereich access control (IAM) aus. Wählen Sie im rechten Bereich +Hinzufügen und in der Dropdownliste die Option "Rollenzuweisung hinzufügen" aus.
Gehen Sie die Registerkarten durch und weisen Sie dem Benutzer, der die Instanz bereitstellt, die folgenden Rollenberechtigungen zu:
- Azure Stack HCI-Administrator
- Reader
Gehen Sie im Azure-Portal zu der Ressourcengruppe, die für die Registrierung der Rechner in Ihrem Abonnement verwendet wird. Wählen Sie im linken Bereich access control (IAM) aus. Wählen Sie im rechten Bereich +Hinzufügen und in der Dropdownliste die Option "Rollenzuweisung hinzufügen" aus.
Gehen Sie die Registerkarten durch und weisen Sie dem Benutzer, der die Local-Instanz bereitstellt, die folgenden Berechtigungen zu:
- Key Vault-Datenzugriffsadmin: Diese Berechtigung ist erforderlich, um Berechtigungen für die Datenebene für den für die Bereitstellung verwendeten Schlüsseltresor zu verwalten.
- Key Vault Secrets Officer: Diese Berechtigung ist erforderlich, um Geheimnisse im Schlüsseltresor zu lesen und zu schreiben, der für die Bereitstellung verwendet wird.
- Key Vault-Mitwirkender: Diese Berechtigung ist erforderlich, um den für die Bereitstellung verwendeten Schlüsseltresor zu erstellen.
- Mitwirkender des Speicherkontos: Diese Berechtigung ist erforderlich, um das für die Bereitstellung verwendete Speicherkonto zu erstellen.
Wechseln Sie im rechten Bereich zu Rollenzuweisungen. Überprüfen Sie, ob der Bereitstellungsbenutzer über alle konfigurierten Rollen verfügt.
Note
Nachdem Sie ein Abonnement ausgewählt und den Cluster bereitgestellt haben, besteht die einzige Methode zum Ändern des Abonnements darin, den Cluster erneut bereitzustellen.
Nächste Schritte
Nach dem Einrichten der Abonnementberechtigungen können Sie Ihre lokalen Azure-Computer bei Azure Arc registrieren.