Настройка ресурсов Azure, назначение ролей и лицензий

  • 5 мин

После того как будет установлено подключение к сети и каталогу, вы можете подготовить к работе службы Azure, необходимые для виртуальных машин (ВМ) виртуального рабочего стола Azure.

Создание ресурсов Azure

Когда выполняется подготовка виртуального рабочего стола Azure, для хранения его ресурсов можно создать новую группу ресурсов. Однако для того, чтобы приступить к подготовке виртуального рабочего стола Azure, потребуются другие ресурсы. Вам понадобится ввести сведения о виртуальной сети, домене и учетные данные для входа в домен. В процессе подготовки создайте в Azure указанные ниже ресурсы.

  • Группа ресурсов — одна или несколько групп ресурсов для размещения и группировки ресурсов Azure.

  • Виртуальная сеть — виртуальная сеть нужна для процесса подготовки пула узлов, который является частью развертывания виртуального рабочего стола Azure. Виртуальная сеть должна быть подключена к вашему домену и предоставлять исходящий доступ к следующим URL-адресам, которые поддерживают виртуальный рабочий стол Azure:

    Адрес Порт TCP для исходящего трафика Назначение Тег обслуживания
    *.wvd.microsoft.com 443 Служебный трафик WindowsVirtualDesktop
    mrsglobalsteus2prod.blob.core.windows.net 443 Обновления стека SXS и агента AzureCloud
    *.core.windows.net 443 Трафик агента AzureCloud
    *.servicebus.windows.net 443 Трафик агента AzureCloud
    prod.warmpath.msftcloudes.com 443 Трафик агента AzureCloud
    catalogartifact.azureedge.net 443 Azure Marketplace AzureCloud
    kms.core.windows.net 1688 Активация Windows Интернет
    wvdportalstorageblob.blob.core.windows.net 443 Страница портала Azure AzureCloud

    Использование брандмауэра Azure с виртуальной сетью помогает изолировать вашу среду и фильтровать исходящий трафик.

  • Учетная запись хранения — учетная запись хранения применяется в Azure для хранения файлов виртуального диска, которые используются с профилями FSLogix, а также для синхронизации и подготовки служб общего доступа к файлам для узлов сеансов виртуального рабочего стола Azure. Кроме того, вы можете использовать Azure NetApp Files и Storage Spaces Direct.

  • Учетные записи Azure — учетные записи администраторов, пользователей и системные учетные записи, необходимые для управления службами. В крупных организациях рекомендуется назначать роли администратора разным людям, а также назначать несколько человек на каждую роль. Если вы только начинаете работу или у вас небольшой отдел ИТ, все роли может выполнять один человек.

Сведения о том, как создать эти ресурсы, см. в разделе "Дополнительные сведения" в конце этого модуля.

Назначение ролей Azure

Виртуальный рабочий стол Azure использует следующие роли Microsoft Entra:

  • Глобальный администратор — предоставляет доступ к порталу и ресурсам Azure, а также делегирует роли администратора. По умолчанию пользователю, зарегистрировавшему подписку Azure, назначается роль глобального администратора для организации Microsoft Entra. Роль глобального администратора используется при подготовке службы виртуального рабочего стола Azure.
  • Администратор пользователей — создает пользователей и управляет их правами доступа.

Другие необходимые учетные записи и роли:

  • ИД организации — при создании пулов узлов необходимо предоставлять учетные данные для подключения к домену виртуальных машин по мере их создания. Виртуальная машина не может быть присоединена к Microsoft Entra. Этот ИД организации необходимо назначить для роли администраторов домена Active Directory. Например, если вы используете доменные службы Microsoft Entra, идентификатору организации необходимо назначить роль администраторов контроллера домена AAD.
  • Владелец подписки — позволяет зарегистрировать поставщика виртуального рабочего стола Azure с подпиской.

Если вы создали клиент Microsoft Entra или используете подписку Visual Studio, ваша учетная запись Azure может иметь все роли, необходимые для развертывания Виртуального рабочего стола Azure.

Назначение лицензий пользователям виртуального рабочего стола Azure

Последним шагом при управлении учетными записями и доступом пользователей является проверка того, что у первоначальных пользователей виртуального рабочего стола Azure есть лицензии. Вы можете назначить лицензии пользователям в области Пользователи портала администрирования Microsoft 365 или создать скрипт с помощью модуля Microsoft Graph PowerShell .