Tutorial: Erstellen von Dienstprinzipalen und Rollenzuweisungen mit PowerShell unter Azure Virtual Desktop (klassisch)
Wichtig
Dieser Inhalt gilt für Azure Virtual Desktop (klassisch). Der Dienst unterstützt keine Azure Virtual Desktop-Objekte in Azure Resource Manager.
Dienstprinzipale sind Identitäten, die Sie in Microsoft Entra ID erstellen können, um Rollen und Berechtigungen für einen bestimmten Zweck zuzuweisen. In Azure Virtual Desktop können Sie einen Dienstprinzipal für folgende Zwecke erstellen:
- Automatisieren von bestimmten Verwaltungsaufgaben für Azure Virtual Desktop
- Verwenden als Anmeldeinformationen anstelle von Benutzern mit MFA-Anforderung beim Ausführen einer Azure Resource Manager-Vorlage für Azure Virtual Desktop
In diesem Tutorial lernen Sie Folgendes:
- Erstellen Sie einen Dienstprinzipal in Microsoft Entra ID.
- Erstellen einer Rollenzuweisung in Azure Virtual Desktop
- Anmelden bei Azure Virtual Desktop mit dem Dienstprinzipal
Voraussetzungen
Bevor Sie Dienstprinzipale und Rollenzuweisungen erstellen können, müssen Sie die folgenden Schritte ausführen:
Führen Sie die Schritte zum Installieren des Azure Az PowerShell-Moduls aus.
Laden Sie das PowerShell-Modul für Azure Virtual Desktop herunter, und importieren Sie es.
Wichtig
Befolgen Sie alle Anweisungen in diesem Artikel in ein und derselben PowerShell-Sitzung. Der Prozess funktioniert möglicherweise nicht, wenn Sie Ihre PowerShell-Sitzung unterbrechen, indem Sie das Fenster schließen und es später erneut öffnen.
Erstellen eines Dienstprinzipals in Microsoft Entra ID
Nachdem Sie die Voraussetzungen in Ihrer PowerShell-Sitzung erfüllt haben, können Sie die folgenden PowerShell-Cmdlets ausführen, um in Azure einen mehrinstanzenfähigen Dienstprinzipal zu erstellen.
Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id
Anzeigen Ihrer Anmeldeinformationen in PowerShell
Zeigen Sie vor der Erstellung der Rollenzuweisung für Ihren Dienstprinzipal Ihre Anmeldeinformationen an, und notieren Sie sie zur späteren Verwendung. Das Kennwort ist besonders wichtig, da Sie es nicht mehr abrufen können, nachdem Sie diese PowerShell-Sitzung geschlossen haben.
Dies sind die drei Werte, die Sie sich notieren sollten, und die Cmdlets, die Sie zum Abrufen dieser Werte ausführen müssen:
Password (Kennwort):
$svcPrincipalCreds.SecretTextMandanten-ID:
$aadContext.Tenant.IdAnwendungs-ID:
$svcPrincipal.AppId
Erstellen einer Rollenzuweisung in Azure Virtual Desktop
Als Nächstes müssen Sie eine Rollenzuweisung erstellen, damit sich der Dienstprinzipal bei Azure Virtual Desktop anmelden kann. Achten Sie darauf, dass Sie sich mit einem Konto anmelden, das über Berechtigungen zum Erstellen von Rollenzuweisungen verfügt.
Zunächst müssen Sie das PowerShell-Modul für Azure Virtual Desktop herunterladen und importieren, um es in Ihrer PowerShell-Sitzung verwenden zu können.
Führen Sie die folgenden PowerShell-Cmdlets aus, um eine Verbindung mit Azure Virtual Desktop herzustellen und Ihre Mandanten anzuzeigen.
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant
Wenn Sie den Mandantennamen für den Mandanten ermittelt haben, für den Sie eine Rollenzuweisung erstellen möchten, verwenden Sie diesen Namen im folgenden Cmdlet:
$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName
Anmelden mit dem Dienstprinzipal
Nachdem Sie eine Rollenzuweisung für den Dienstprinzipal erstellt haben, müssen Sie sicherstellen, dass die Anmeldung an Azure Virtual Desktop mit dem Dienstprinzipal möglich ist, indem Sie das folgende Cmdlet ausführen:
$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id
Wenn Sie sich erfolgreich anmelden können, wurde Ihr Dienstprinzipal ordnungsgemäß konfiguriert.
Nächste Schritte
Wenn Sie den Dienstprinzipal erstellt und ihm eine Rolle in Ihrem Azure Virtual Desktop-Mandanten zugewiesen haben, können Sie ihn zum Erstellen eines Hostpools verwenden. Weitere Informationen zu Hostpools finden Sie im Tutorial zum Erstellen eines Hostpools in Azure Virtual Desktop.