设置 Azure 资源以及分配角色和许可证

  • 5 分钟

建立网络和目录连接后,可预配 Azure 虚拟桌面虚拟机 (VM) 所需的 Azure 服务。

创建 Azure 资源

开始预配 Azure 虚拟桌面时,可以创建一个新的资源组以包含其资源。 但需要其他资源才能预配 Azure 虚拟桌面。 你需要输入虚拟网络、域信息和域加入凭据。 在准备过程中,在 Azure 中创建以下资源:

  • 资源组 — 一个或多个资源组,用于包含 Azure 资源并对其进行分组。

  • 虚拟网络 — 主机池预配过程中需要虚拟网络,这是 Azure 虚拟桌面部署的一部分。 虚拟网络必须连接到你的域,并允许出站访问以下支持 Azure 虚拟桌面的 URL:

    地址 出站 TCP 端口 用途 服务标签
    *.wvd.microsoft.com 443 服务流量 WindowsVirtualDesktop
    mrsglobalsteus2prod.blob.core.windows.net 443 代理和 SXS 堆栈更新 AzureCloud
    *.core.windows.net 443 代理流量 AzureCloud
    *.servicebus.windows.net 443 代理流量 AzureCloud
    prod.warmpath.msftcloudes.com 443 代理流量 AzureCloud
    catalogartifact.azureedge.net 443 Azure 市场 AzureCloud
    kms.core.windows.net 1688 Windows 激活 Internet
    wvdportalstorageblob.blob.core.windows.net 443 Azure 门户支持 AzureCloud

    考虑将 Azure 防火墙与虚拟网络一起使用,以帮助你锁定环境并筛选出站流量。

  • 存储帐户 — Azure 中的存储帐户,用于存储与 FSLogix 配置文件一起使用的虚拟磁盘文件,以及为 Azure 虚拟桌面会话主机同步或预配文件共享服务。 还可以使用 Azure NetApp 文件存储空间直通

  • Azure 帐户 — 管理服务所需的管理员、用户和系统帐户。 在大型组织中,最好将管理员角色分配给不同的人员,并为每个角色确定多个人员。 如果是刚刚起步,或者 IT 部门很小,可以对同一个人分配这些角色。

若要了解如何创建这些资源,请参阅本模块末尾的“了解更多”部分。

分配 Azure 角色

Azure 虚拟桌面使用以下 Microsoft Entra 角色:

  • 全局管理员 - 授予对 Azure 门户和资源的访问权限,并且可以委派管理员角色。 默认情况下,为注册 Azure 订阅的人员分配有 Microsoft Entra 组织的全局管理员角色。 使用全局管理员角色预配 Azure 虚拟桌面服务。
  • 用户管理员 — 创建用户并管理用户访问。

所需的其他帐户或角色:

  • 组织 ID — 创建主机池时,需要提供凭据以在创建虚拟机时加入域。 VM 不能加入 Microsoft Entra。 需要将此组织 ID 分配给 Active Directory 域管理员角色。 例如,如果使用 Microsoft Entra 域服务,则需要为组织 ID 分配 AAD DC 管理员角色。
  • 订阅所有者 — 可通过订阅注册 Azure 虚拟桌面提供程序。

如果创建了 Microsoft Entra 租户或使用 Visual Studio 订阅,则 Azure 帐户可能具有部署 Azure 虚拟桌面所需的所有角色。

向 Azure 虚拟桌面用户分配许可证

管理用户帐户和访问权限的最后一步是确保初始 Azure 虚拟桌面用户获得许可。 可以在 Microsoft 365 管理门户的 “用户” 区域中向用户分配许可证,也可以使用 Microsoft Graph PowerShell 模块对其进行脚本编写。