Tutorial: Criar entidades de serviço e atribuições de função com o PowerShell na Área de Trabalho Virtual do Azure (clássico)
Importante
Esse conteúdo se aplica à Área de Trabalho Virtual do Azure (clássica), que não dá suporte a objetos da Área de Trabalho Virtual do Azure Resource Manager.
Principais de serviço são identidades que você pode criar no Microsoft Entra ID para atribuir funções e permissões para uma finalidade específica. Na Área de Trabalho Virtual do Azure, você pode criar uma entidade de serviço para:
- Automatize tarefas específicas de gerenciamento da Área de Trabalho Virtual do Azure.
- Use como credenciais no lugar das dos usuários obrigados a usar MFA ao executar qualquer modelo do Azure Resource Manager para a Área de Trabalho Virtual do Azure.
Neste tutorial, saiba como:
- Crie um principal de serviço no Microsoft Entra ID.
- Crie uma atribuição de função na Área de Trabalho Virtual do Azure.
- Entre em Área de Trabalho Virtual do Azure usando o principal de serviço.
Pré-requisitos
Antes de criar entidades de serviço e atribuições de função, você precisa realizar as seguintes etapas:
Siga as etapas para instalar o módulo Azure Az PowerShell.
Baixe e importe o módulo do PowerShell da Área de Trabalho Virtual do Azure.
Importante
Siga todas as instruções neste artigo na mesma sessão do PowerShell. O processo poderá não funcionar se você interromper a sessão do PowerShell fechando a janela e reabrindo-a mais tarde.
Criar uma entidade de serviço na ID do Microsoft Entra
Depois de cumprir os pré-requisitos na sessão do PowerShell, execute os seguintes cmdlets do PowerShell para criar uma entidade de serviço multilocatário no Azure.
Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id
Exibir suas credenciais no PowerShell
Antes de criar a atribuição de função para sua entidade de serviço, visualize suas credenciais e anote-as para referência futura. A senha é especialmente importante porque você não poderá recuperá-la depois de fechar esta sessão do PowerShell.
Aqui estão os três valores que você deve anotar e os cmdlets que você precisa executar para obtê-los:
Senha:
$svcPrincipalCreds.SecretTextID do locatário:
$aadContext.Tenant.IdID do aplicativo:
$svcPrincipal.AppId
Criar uma atribuição de função na Área de Trabalho Virtual do Azure
Em seguida, você precisa criar uma atribuição de função para que a entidade do serviço possa fazer login na Área de Trabalho Virtual do Azure. Certifique-se de entrar com uma conta que tenha permissões para criar atribuições de função.
Primeiro, baixe e importe o módulo do PowerShell da Área de Trabalho Virtual do Azure para usar na sua sessão do PowerShell, se ainda não o fez.
Execute os seguintes cmdlets do PowerShell para se conectar à Área de Trabalho Virtual do Azure e exibir seus locatários.
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant
Quando encontrar o nome do locatário para o qual você deseja criar uma atribuição de função, use esse nome no seguinte cmdlet:
$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName
Conecte-se com a entidade de serviço
Depois de criar uma atribuição de função para a entidade de serviço, verifique se a entidade de serviço pode entrar na Área de Trabalho Virtual do Azure executando o seguinte cmdlet:
$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id
Se você conseguir entrar com êxito, seu principal de serviço será configurado corretamente.
Próximas etapas
Depois de criar a entidade de serviço e atribuir a ela uma função em seu locatário da Área de Trabalho Virtual do Azure, você poderá usá-la para criar um pool de hosts. Para saber mais sobre pools de hosts, continue com o tutorial para criar um pool de hosts na Área de Trabalho Virtual do Azure.