Kurz: Vytváření instančních objektů a přiřazení rolí pomocí PowerShellu ve službě Azure Virtual Desktop (Classic)
Důležitý
Tento obsah platí pro Azure Virtual Desktop (Classic), který nepodporuje objekty Azure Virtual Desktopu Azure Resource Manageru.
Služební principály jsou identity, které můžete vytvořit v Microsoft Entra ID pro přiřazení rolí a oprávnění ke konkrétnímu účelu. Ve službě Azure Virtual Desktop můžete vytvořit služební principál pro:
- Automatizujte konkrétní úlohy správy služby Azure Virtual Desktop.
- Při spouštění jakékoli šablony Azure Resource Manageru pro Azure Virtual Desktop se používají jako přihlašovací údaje místo uživatelů vyžadovaných vícefaktorovým ověřováním.
V tomto kurzu se naučíte:
- Vytvořte objekt typu service principal v Microsoft Entra ID.
- Vytvořte přiřazení role ve službě Azure Virtual Desktop.
- Přihlaste se do Azure Virtual Desktop pomocí principálu služby.
Požadavky
Než budete moct vytvořit zástupce služby a přiřazení rolí, musíte splnit následující:
Podle pokynů Nainstalujte modul Azure Az PowerShell.
Stažení a import modulu PowerShellu pro Azure Virtual Desktop.
Důležitý
Postupujte podle všech pokynů v tomto článku ve stejné relaci PowerShellu. Proces nemusí fungovat, pokud přerušíte relaci PowerShellu zavřením okna a jeho pozdějším otevřením.
Vytvoření aplikačního objektu v Microsoft Entra ID
Po splnění požadavků v relaci PowerShellu spusťte následující příkazy PowerShellu pro vytvoření principálu služby s více tenanty v Azure.
Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id
Zobrazení přihlašovacích údajů v PowerShellu
Před vytvořením přiřazení role pro služební principal si prohlédněte přihlašovací údaje a poznamenejte si je pro budoucí použití. Heslo je zvlášť důležité, protože po zavření této relace PowerShellu ho nebudete moct načíst.
Tady jsou tři hodnoty, které byste si měli zapsat, a příkazové rutiny, které musíte spustit, abyste je získali:
Heslo:
$svcPrincipalCreds.SecretTextID tenanta:
$aadContext.Tenant.IdID aplikace:
$svcPrincipal.AppId
Vytvoření přiřazení role ve službě Azure Virtual Desktop
Dále musíte vytvořit přiřazení role, aby se služební principál mohl přihlásit k Azure Virtual Desktop. Ujistěte se, že se přihlašujte pomocí účtu, který má oprávnění k vytváření přiřazení rolí.
Nejprve stáhněte a importujte modul PowerShellu pro Azure Virtual Desktop pro použití v relaci PowerShellu, pokud jste to ještě neudělali.
Spuštěním následujících rutin PowerShellu se připojte ke službě Azure Virtual Desktop a zobrazte tenanty.
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant
Když najdete název tenanta, pro kterého chcete vytvořit přiřazení role, použijte tento název v následujícím cmdletu:
$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName
Přihlášení pomocí služebního účtu
Po vytvoření přiřazení role pro instanční objekt se ujistěte, že se instanční objekt může přihlásit k Azure Virtual Desktopu spuštěním následující rutiny:
$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id
Pokud se můžete úspěšně přihlásit, aplikační objekt služby je správně nakonfigurovaný.
Další kroky
Po vytvoření služebního hlavního účtu a jeho přiřazení k roli v prostředí Azure Virtual Desktop ho můžete použít k vytvoření fondu hostitelů. Další informace o fondech hostitelů najdete v kurzu vytvoření fondu hostitelů ve službě Azure Virtual Desktop.