設定 Azure 資源、指派角色和授權

  • 5 分鐘

建立網路和目錄連線之後,您就可以佈建 Azure 虛擬桌面虛擬機器 (VM) 所需的 Azure 服務。

建立 Azure 資源

當您準備佈建 Azure 虛擬桌面時,可以建立一個新的資源群組以包含其資源。 但您必須還需要其他資源,才能佈建 Azure 虛擬桌面版。 您必須輸入虛擬網路、網域資訊和網域聯結憑證。 在您準備的過程中,請在 Azure 中建立以下資源:

  • 資源群組:包含和群組 Azure 資源的一個或多個資源群組。

  • 虛擬網路 - 主機集區佈建程序會需要一虛擬網路,這是 Azure 虛擬桌面部署的一部分。 必須將虛擬網路連線至您的網域,並允許輸出存取支援 Azure 虛擬桌面的以下 URL:

    位址 輸出 TCP 埠 用途 服務標籤
    *.wvd.microsoft.com 443 服務流量 WindowsVirtualDesktop
    mrsglobalsteus2prod.blob.core.windows.net 443 代理程式和 SXS 堆疊更新 AzureCloud
    *. core.windows.net 443 代理程式流量 AzureCloud
    *.servicebus.windows.net 443 代理程式流量 AzureCloud
    prod.warmpath.msftcloudes.com 443 代理程式流量 AzureCloud
    catalogartifact.azureedge.net 443 Azure Marketplace AzureCloud
    kms.core.windows.net 1688 Windows 啟用 網際網路
    wvdportalstorageblob.blob.core.windows.net 443 Azure 入口網站支援 AzureCloud

    請考慮搭配虛擬網路使用 Azure 防火牆,以協助您封鎖環境並篩選輸出流量。

  • 儲存體帳戶 - Azure 中的儲存體帳戶,用以儲存搭配 FSLogix 設定檔的虛擬磁碟檔案,以及同步化或佈建 Azure 虛擬桌面工作階段主機的檔案共用服務。 您也可以使用 Azure NetApp 檔案Storage Spaces Direct

  • Azure 帳戶 - 管理服務所需的系統管理員、使用者和系統帳戶。 在大型組織中,建議您將系統管理員角色指派給不同的人員,並為每個角色建立多個人員。 如果您剛開始使用,或您的 IT 部門較小,則可以使用相同的人員。

若要了解如何建立這些資源,請參閱本模組結尾的深入了解一節。

指派 Azure 角色

Azure 虛擬桌面使用下列 Microsoft Entra 角色:

  • 全域系統管理員 – 授予 Azure 入口網站和資源的存取權,且可以委派系統管理員角色。 根據預設,註冊 Azure 訂用帳戶的人員會獲指派 Microsoft Entra 組織的全域管理員角色。 您可以使用全域系統管理員角色來佈建 Azure 虛擬桌面服務。
  • 使用者管理員 – 建立使用者並管理使用者存取權。

其他所需的帳戶或角色:

  • 組織識別碼 - 當您建立主機集區時,必須在建立 VM 時提供憑證來網域聯結 VM。 VM 無法加入 Microsoft Entra。 這個組織識別碼必須指派給 Active Directory 網域系統管理員角色。 例如,如果您使用 Microsoft Entra Domain Services,則必須將 AAD DC 系統管理員角色指派給組織標識符。
  • 訂閱擁有者 - 可讓您以訂閱來註冊 Azure 虛擬桌面提供者。

如果您已建立 Microsoft Entra 租使用者或使用 Visual Studio 訂用帳戶,您的 Azure 帳戶可能具有部署 Azure 虛擬桌面所需的所有角色。

指派授權給 Azure 虛擬桌面使用者

管理使用者帳戶和存取權的最後一個步驟,就是確認您的初始 Azure 虛擬桌面使用者已獲授權。 您可以在 Microsoft 365 系統管理入口網站的 [ 使用者 ] 區域中,將授權指派給使用者,也可以使用 Microsoft Graph PowerShell 模組編寫腳本。