Esercitazione: Creare entità servizio e assegnazioni di ruolo con PowerShell in Desktop virtuale Azure (versione classica)
Importante
Questo contenuto si applica ad Azure Virtual Desktop (classico), che non supporta gli oggetti di Azure Virtual Desktop di Azure Resource Manager.
I principali di servizio sono identità che puoi creare in Microsoft Entra ID per assegnare ruoli e autorizzazioni per uno scopo specifico. Nel Desktop virtuale di Azure, è possibile creare un principale del servizio per:
- Automatizzare specifiche attività di gestione di Desktop virtuale Azure.
- Usare come credenziali al posto degli utenti per cui è richiesta l'autenticazione a più fattori quando si esegue un modello di Azure Resource Manager per Desktop Virtuale di Azure.
Questa esercitazione illustra come:
- Creare un'entità servizio in Microsoft Entra ID.
- Creare un'assegnazione di ruolo in Desktop virtuale Azure.
- Accedi ad Azure Virtual Desktop utilizzando il principale del servizio.
Prerequisiti
Prima di poter creare entità servizio e assegnazioni di ruolo, è necessario eseguire le operazioni seguenti:
Segui la procedura per installare il modulo Azure Az PowerShell.
Scaricare e importare il modulo PowerShell di Azure Virtual Desktop.
Importante
Seguire tutte le istruzioni in questo articolo nella stessa sessione di PowerShell. Il processo potrebbe non funzionare se si interrompe la sessione di PowerShell chiudendo la finestra e riaprendola in un secondo momento.
Creare un'entità servizio in Microsoft Entra ID
Dopo aver soddisfatto i prerequisiti nella tua sessione di PowerShell, eseguire i cmdlet di PowerShell seguenti per creare un'entità servizio multitenant in Azure.
Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id
Visualizza le credenziali in PowerShell
Prima di creare l'assegnazione di ruolo per il principale del servizio, consulta le credenziali e annotale conservale per riferimento futuro. La password è particolarmente importante perché non sarà possibile recuperarla dopo aver chiuso questa sessione di PowerShell.
Ecco i tre valori da annotare e i cmdlet che è necessario eseguire per ottenerli:
Parola d’ordine:
$svcPrincipalCreds.SecretTextID tenant:
$aadContext.Tenant.IdID applicazione:
$svcPrincipal.AppId
Creare un'assegnazione di ruolo in Desktop virtuale Azure
Successivamente, è necessario creare un'assegnazione di ruolo affinché l'entità servizio possa accedere ad Azure Virtual Desktop. Assicurarsi di accedere con un account con autorizzazioni per creare assegnazioni di ruolo.
Prima di tutto, scarica e importa il modulo PowerShell di Azure Virtual Desktop da usare nella tua sessione di PowerShell, se non l'hai già fatto.
Eseguire i seguenti cmdlet di PowerShell per connettersi ad Azure Virtual Desktop e visualizzare i tenant.
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant
Quando viene identificato il nome del tenant per il quale si desidera creare un'assegnazione di ruolo, utilizzare tale nome nel cmdlet indicato di seguito.
$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName
Accedere con il principale del servizio
Dopo aver creato un'assegnazione di ruolo per l'entità servizio, assicurarsi che l'entità servizio possa accedere all'Azure Virtual Desktop eseguendo il cmdlet seguente.
$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id
Se riesci ad accedere correttamente, il principale del servizio è configurato correttamente.
Passaggi successivi
Dopo aver creato l'entità servizio e assegnato un ruolo nel tenant di Azure Virtual Desktop, è possibile usarla per creare un pool di host. Per saperne di più sui pool di host, consulta il tutorial per creare un pool di host in Azure Virtual Desktop.