Samouczek: Utwórz zasady usługi i przypisania ról za pomocą programu PowerShell w usłudze Azure Virtual Desktop (klasycznej)
Ważny
Ta zawartość dotyczy usługi Azure Virtual Desktop (klasycznej), która nie obsługuje obiektów usługi Azure Resource Manager usługi Azure Virtual Desktop.
Główne obiekty usługi to tożsamości, które można utworzyć w usłudze Microsoft Entra ID w celu przypisania ról i uprawnień do określonego celu. W usłudze Azure Virtual Desktop możesz utworzyć główny element usługi, aby:
- Automatyzowanie określonych zadań zarządzania usługą Azure Virtual Desktop.
- Użyj poświadczeń w miejsce użytkowników wymagających uwierzytelniania wieloskładnikowego podczas uruchamiania dowolnego szablonu Azure Resource Manager dla Azure Virtual Desktop.
Z tego samouczka dowiesz się, jak wykonywać następujące działania:
- Utwórz jednostkę usługi w identyfikatorze Entra firmy Microsoft.
- Utwórz przypisanie roli w usłudze Azure Virtual Desktop.
- Zaloguj się do usługi Azure Virtual Desktop przy użyciu głównej usługi.
Warunki wstępne
Przed utworzeniem zasad usługi i przypisań ról należy wykonać następujące czynności:
Wykonaj kroki, aby zainstalować moduł Azure Az programu PowerShell.
Pobierz i zaimportuj moduł Programu PowerShell usługi Azure Virtual Desktop.
Ważny
Postępuj zgodnie ze wszystkimi instrukcjami w tym artykule w tej samej sesji programu PowerShell. Proces może nie działać, jeśli przerywasz sesję programu PowerShell, zamykając okno i ponownie otwierając je później.
Tworzenie jednostki usługi w identyfikatorze Entra firmy Microsoft
Po spełnieniu wymagań wstępnych w sesji programu PowerShell uruchom następujące polecenia cmdlet programu PowerShell, aby utworzyć jednostkę usługi obsługującą wielu użytkowników na platformie Azure.
Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id
Wyświetlanie poświadczeń w programie PowerShell
Przed utworzeniem przypisania roli dla jednostki usługi wyświetl swoje poświadczenia i zapisz je na przyszłość. Hasło jest szczególnie ważne, ponieważ nie będzie można go pobrać po zamknięciu tej sesji programu PowerShell.
Poniżej przedstawiono trzy wartości, które należy zapisać, oraz polecenia cmdlet, które należy uruchomić, aby je pobrać:
Hasło:
$svcPrincipalCreds.SecretTextIdentyfikator dzierżawy:
$aadContext.Tenant.IdIdentyfikator aplikacji:
$svcPrincipal.AppId
Tworzenie przypisania roli w usłudze Azure Virtual Desktop
Następnie należy utworzyć przypisanie roli, aby podmiot usługi mógł zalogować się do Azure Virtual Desktop. Pamiętaj, aby zalogować się przy użyciu konta z uprawnieniami do tworzenia przypisań ról.
Najpierw pobierz i zaimportuj moduł programu PowerShell dla Azure Virtual Desktop do użycia w swojej sesji programu PowerShell, jeśli jeszcze tego nie zrobiłeś.
Uruchom następujące polecenia cmdlet programu PowerShell, aby nawiązać połączenie z usługą Azure Virtual Desktop i wyświetlić dzierżawy.
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant
Gdy znajdziesz nazwę dzierżawcy, dla którego chcesz utworzyć przypisanie roli, użyj tej nazwy w następującym poleceniu cmdlet:
$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName
Zaloguj się przy użyciu jednostki usługi
Po utworzeniu przypisania roli dla jednostki usługi upewnij się, że jednostka usługi może zalogować się do usługi Azure Virtual Desktop, uruchamiając następujące polecenie cmdlet:
$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id
Jeśli możesz pomyślnie się zalogować, konto usługi jest poprawnie skonfigurowane.
Następne kroki
Po utworzeniu jednostki usługi i przypisaniu jej roli w dzierżawie usługi Azure Virtual Desktop można jej użyć do utworzenia puli hostów. Aby dowiedzieć się więcej na temat pul hostów, przejdź do samouczka dotyczącego tworzenia puli hostów w usłudze Azure Virtual Desktop.