Руководство: Создание учетных записей служб и назначений ролей с помощью PowerShell в Виртуальном рабочем столе Azure (классическая модель)

Важный

Это содержимое относится к виртуальному рабочему столу Azure (классическому), который не поддерживает объекты Виртуального рабочего стола Azure Resource Manager Azure.

Принципы служб — это идентичности, которые можно создать в Microsoft Entra ID для назначения ролей и разрешений для конкретной цели. В среде виртуальных рабочих столов Azure можно создать учетную запись службы для:

• Автоматизация определенных задач управления виртуальным рабочим столом Azure.
• Используйте в качестве учетных данных вместо учетных данных пользователей, требующих многофакторной проверки подлинности, при запуске любого шаблона Azure Resource Manager для виртуального рабочего стола Azure.

В этом руководстве описано, как:

• Создайте учетную запись службы в Microsoft Entra ID.
• Создайте назначение ролей в Виртуальном рабочем столе Azure.
• Войдите в виртуальный рабочий стол Azure, используя учетную запись службы.

Необходимые условия

Прежде чем создавать учетные записи служб и назначения ролей, сначала необходимо сделать следующее:

1. Выполните действия, чтобы установить модуль Azure Az PowerShell.

2. Скачайте и импортируйте модуль PowerShell виртуального рабочего стола Azure.

Важный

Следуйте всем инструкциям из этой статьи в одном сеансе PowerShell. Процесс может не работать, если вы прерываете сеанс PowerShell, закрывая окно и открывая его позже.

Создание служебного принципала в Microsoft Entra ID

После выполнения предварительных требований в сессии PowerShell выполните следующие командлеты PowerShell, чтобы создать мультитенантную учетную запись службы в Azure.

Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id

Просмотр учетных данных в PowerShell

Прежде чем создавать назначение ролей для служебного принципала, ознакомьтесь с вашими учетными данными и запишите их для будущего использования. Пароль особенно важен, так как вы не сможете получить его после закрытия этого сеанса PowerShell.

Ниже приведены три значения, которые необходимо записать, и командлеты, которые необходимо выполнить, чтобы получить их:

• Пароль:

  $svcPrincipalCreds.SecretText
  

• Идентификатор клиента:

  $aadContext.Tenant.Id
  

• Идентификатор приложения:

  $svcPrincipal.AppId
  

Создание назначения ролей в Виртуальном рабочем столе Azure

Затем необходимо создать назначение ролей, чтобы субъект-служба могли войти в виртуальный рабочий стол Azure. Обязательно войдите с помощью учетной записи с разрешениями на создание назначений ролей.

Сначала, если вы еще не сделали этого, скачайте и импортируйте модуль PowerShell для Виртуального рабочего стола Azure , чтобы использовать его в своем сеансе PowerShell.

Выполните следующие командлеты PowerShell для подключения к виртуальному рабочему столу Azure и отображения клиентов.

Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant

Когда найдете имя арендатора, для которого хотите создать назначение роли, используйте это имя в следующем командлете:

$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName

Вход с помощью сервисной учетной записи

После создания назначения ролей для субъекта-службы убедитесь, что субъект-служба может войти в виртуальный рабочий стол Azure, выполнив следующий командлет:

$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id

Если вы успешно вошли, значит, ваша учетная запись службы настроена правильно.

Дальнейшие действия

После создания субъекта-службы и назначения ей роли в клиенте Виртуального рабочего стола Azure его можно использовать для создания пула узлов. Дополнительные сведения о пулах узлов см. в руководстве по созданию пула узлов в Виртуальном рабочем столе Azure.

Создание пула узлов с помощью Azure Marketplace