Lernprogramm: Erstellen von Dienstprinzipalen und Rollenzuweisungen mit PowerShell in Azure Virtual Desktop (klassisch)
Wichtig
Dieser Inhalt gilt für Azure Virtual Desktop (klassisch), der Azure Resource Manager Azure Virtual Desktop-Objekte nicht unterstützt.
Dienstprinzipale sind Identitäten, die Sie in Microsoft Entra ID erstellen können, um Rollen und Berechtigungen für bestimmte Zwecke zuzuweisen. In Azure Virtual Desktop können Sie einen Dienstprinzipal erstellen, um:
- Automatisieren Sie bestimmte Azure Virtual Desktop-Verwaltungsaufgaben.
- Verwenden Sie diese Anmeldeinformationen anstelle der Benutzer, die eine MFA benötigen, wenn Sie eine Azure Resource Manager-Vorlage für Azure Virtual Desktop ausführen.
In diesem Lernprogramm erfahren Sie, wie Sie:
- Erstellen Sie einen Dienstprinzipal in der Microsoft Entra-ID.
- Erstellen Sie eine Rollenzuweisung in Azure Virtual Desktop.
- Melden Sie sich mit dem Dienstprinzipal bei Azure Virtual Desktop an.
Voraussetzungen
Bevor Sie Dienstprinzipale und Rollenzuweisungen erstellen können, müssen Sie die folgenden Schritte ausführen:
Führen Sie die Schritte aus, um das Azure Az PowerShell-Modul zu installieren.
Laden Sie das Azure Virtual Desktop PowerShell-Modulherunter, und importieren Sie es.
Wichtig
Folgen Sie allen Anweisungen in diesem Artikel in derselben PowerShell-Sitzung. Der Vorgang funktioniert möglicherweise nicht, wenn Sie Ihre PowerShell-Sitzung unterbrechen, indem Sie das Fenster schließen und später erneut öffnen.
Erstellen eines Dienstprinzipals in der Microsoft Entra-ID
Nachdem Sie die Voraussetzungen in Ihrer PowerShell-Sitzung erfüllt haben, führen Sie die folgenden PowerShell-Cmdlets aus, um einen Mehrinstanzendienstprinzipal in Azure zu erstellen.
Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id
Anzeigen Ihrer Anmeldeinformationen in PowerShell
Bevor Sie die Rollenzuweisung für Ihren Dienstprinzipal erstellen, zeigen Sie Ihre Anmeldeinformationen an, und notieren Sie sie für zukünftige Verweise. Das Kennwort ist besonders wichtig, da Sie es nach dem Schließen dieser PowerShell-Sitzung nicht mehr abrufen können.
Hier sind die drei Werte, die Sie notieren sollten, und die Cmdlets, die Sie ausführen müssen, um sie abzurufen:
Passwort:
$svcPrincipalCreds.SecretTextMandanten-ID:
$aadContext.Tenant.IdAnwendungs-ID:
$svcPrincipal.AppId
Erstellen einer Rollenzuweisung in Azure Virtual Desktop
Als Nächstes müssen Sie eine Rollenzuweisung erstellen, damit sich der Dienstprinzipal bei Azure Virtual Desktop anmelden kann. Stellen Sie sicher, dass Sie sich mit einem Konto anmelden, das über Berechtigungen zum Erstellen von Rollenzuweisungen verfügt.
Laden Sie zunächst das Azure Virtual Desktop PowerShell-Modul herunter, um es in Ihrer PowerShell-Sitzung zu verwenden, falls noch nicht geschehen.
Führen Sie die folgenden PowerShell-Cmdlets aus, um eine Verbindung mit Azure Virtual Desktop herzustellen und Ihre Mandanten anzuzeigen.
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant
Wenn Sie den Namen des Mandanten gefunden haben, für den Sie eine Rollenzuweisung erstellen möchten, verwenden Sie diesen Namen im folgenden Cmdlet:
$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName
Anmelden mit dem Service Principal
Nachdem Sie eine Rollenzuweisung für den Dienstprinzipal erstellt haben, stellen Sie sicher, dass sich der Dienstprinzipal bei Azure Virtual Desktop anmelden kann, indem Sie das folgende Cmdlet ausführen:
$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id
Wenn Sie sich erfolgreich anmelden können, ist Ihr Dienstkonto ordnungsgemäß konfiguriert.
Nächste Schritte
Nachdem Sie den Dienstprinzipal erstellt und ihm eine Rolle in Ihrem Azure Virtual Desktop-Mandanten zugewiesen haben, können Sie ihn verwenden, um einen Hostpool zu erstellen. Weitere Informationen zu Hostpools finden Sie im Tutorial zum Erstellen eines Hostpools in Azure Virtual Desktop.