Självstudie: Skapa tjänstens huvudnamn och rolltilldelningar med PowerShell i Azure Virtual Desktop (klassisk)
Viktigt!
Det här innehållet gäller för Azure Virtual Desktop (klassiskt), som inte stöder Azure Resource Manager Azure Virtual Desktop-objekt.
Tjänstens huvudnamn är identiteter som du kan skapa i Microsoft Entra-ID för att tilldela roller och behörigheter för ett visst syfte. I Azure Virtual Desktop kan du skapa ett huvudnamn för tjänsten för att:
- Automatisera specifika Azure Virtual Desktop-hanteringsuppgifter.
- Använd som autentiseringsuppgifter i stället för MFA-obligatoriska användare när du kör en Azure Resource Manager-mall för Azure Virtual Desktop.
I den här självstudien får du lära dig att:
- Skapa ett huvudnamn för tjänsten i Microsoft Entra-ID.
- Skapa en rolltilldelning i Azure Virtual Desktop.
- Logga in på Azure Virtual Desktop med hjälp av tjänstens huvudnamn.
Förutsättningar
Innan du kan skapa tjänstens huvudnamn och rolltilldelningar måste du göra följande:
Följ stegen för att installera Azure Az PowerShell-modulen.
Ladda ned och importera Azure Virtual Desktop PowerShell-modulen.
Viktigt!
Följ alla instruktioner i den här artikeln i samma PowerShell-session. Processen kanske inte fungerar om du avbryter PowerShell-sessionen genom att stänga fönstret och öppna det igen senare.
Skapa ett huvudnamn för tjänsten i Microsoft Entra-ID
När du har uppfyllt förutsättningarna i PowerShell-sessionen kör du följande PowerShell-cmdletar för att skapa ett huvudnamn för flera klienttjänster i Azure.
Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id
Visa dina autentiseringsuppgifter i PowerShell
Innan du skapar rolltilldelningen för tjänstens huvudnamn ska du visa dina autentiseringsuppgifter och skriva ned dem för framtida referens. Lösenordet är särskilt viktigt eftersom du inte kommer att kunna hämta det när du har stängt den här PowerShell-sessionen.
Här är de tre värden som du bör skriva ned och de cmdletar som du behöver köra för att hämta dem:
Lösenord:
$svcPrincipalCreds.SecretText
Klientorganisations-ID:
$aadContext.Tenant.Id
Program-ID:
$svcPrincipal.AppId
Skapa en rolltilldelning i Azure Virtual Desktop
Därefter måste du skapa en rolltilldelning så att tjänstens huvudnamn kan logga in på Azure Virtual Desktop. Logga in med ett konto som har behörighet att skapa rolltilldelningar.
Börja med att ladda ned och importera Azure Virtual Desktop PowerShell-modulen som ska användas i PowerShell-sessionen om du inte redan har gjort det.
Kör följande PowerShell-cmdletar för att ansluta till Azure Virtual Desktop och visa dina klienter.
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant
När du hittar klientorganisationens namn för den klientorganisation som du vill skapa en rolltilldelning för använder du det namnet i följande cmdlet:
$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName
Logga in med tjänstens huvudnamn
När du har skapat en rolltilldelning för tjänstens huvudnamn kontrollerar du att tjänstens huvudnamn kan logga in på Azure Virtual Desktop genom att köra följande cmdlet:
$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id
Om du kan logga in korrekt konfigureras tjänstens huvudnamn korrekt.
Nästa steg
När du har skapat tjänstens huvudnamn och tilldelat den en roll i din Azure Virtual Desktop-klientorganisation kan du använda den för att skapa en värdpool. Om du vill veta mer om värdpooler fortsätter du till självstudien för att skapa en värdpool i Azure Virtual Desktop.