Kurz: Vytváření instančních objektů a přiřazení rolí pomocí PowerShellu ve službě Azure Virtual Desktop (Classic)
Důležité
Tento obsah platí pro Azure Virtual Desktop (Classic), který nepodporuje objekty Azure Virtual Desktopu Azure Resource Manageru.
Instanční objekty jsou identity, které můžete vytvořit v MICROSOFT Entra ID pro přiřazení rolí a oprávnění pro konkrétní účel. Ve službě Azure Virtual Desktop můžete vytvořit instanční objekt pro:
- Automatizujte konkrétní úlohy správy služby Azure Virtual Desktop.
- Při spouštění jakékoli šablony Azure Resource Manageru pro Azure Virtual Desktop se používají jako přihlašovací údaje místo uživatelů vyžadovaných vícefaktorovým ověřováním.
V tomto kurzu se naučíte:
- Vytvořte instanční objekt v Microsoft Entra ID.
- Vytvořte přiřazení role ve službě Azure Virtual Desktop.
- Přihlaste se k Azure Virtual Desktopu pomocí instančního objektu.
Předpoklady
Než budete moct vytvořit instanční objekty a přiřazení rolí, musíte udělat toto:
Postupujte podle pokynů k instalaci modulu Azure Az PowerShell.
Stáhněte a naimportujte modul PowerShellu pro Azure Virtual Desktop.
Důležité
Postupujte podle všech pokynů v tomto článku ve stejné relaci PowerShellu. Proces nemusí fungovat, pokud přerušíte relaci PowerShellu zavřením okna a jeho pozdějším otevřením.
Vytvoření instančního objektu v Microsoft Entra ID
Po splnění požadavků v relaci PowerShellu spusťte následující rutiny PowerShellu pro vytvoření instančního objektu s více tenanty v Azure.
Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id
Zobrazení přihlašovacích údajů v PowerShellu
Před vytvořením přiřazení role pro instanční objekt si prohlédněte přihlašovací údaje a poznamenejte si je pro budoucí referenci. Heslo je zvlášť důležité, protože po zavření této relace PowerShellu ho nebudete moct načíst.
Tady jsou tři hodnoty, které byste měli zapsat, a rutiny, které je potřebujete spustit, abyste je získali:
Heslo:
$svcPrincipalCreds.SecretTextID tenanta:
$aadContext.Tenant.IdID aplikace:
$svcPrincipal.AppId
Vytvoření přiřazení role ve službě Azure Virtual Desktop
Dále musíte vytvořit přiřazení role, aby se instanční objekt mohl přihlásit k Azure Virtual Desktopu. Ujistěte se, že se přihlašujte pomocí účtu, který má oprávnění k vytváření přiřazení rolí.
Nejprve si stáhněte a naimportujte modul PowerShellu pro Azure Virtual Desktop, který se použije v relaci PowerShellu, pokud jste to ještě neudělali.
Spuštěním následujících rutin PowerShellu se připojte ke službě Azure Virtual Desktop a zobrazte tenanty.
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant
Když najdete název tenanta pro tenanta, pro kterého chcete vytvořit přiřazení role, použijte tento název v následující rutině:
$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName
Přihlášení pomocí instančního objektu
Po vytvoření přiřazení role pro instanční objekt se ujistěte, že se instanční objekt může přihlásit k Azure Virtual Desktopu spuštěním následující rutiny:
$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id
Pokud se můžete úspěšně přihlásit, instanční objekt je správně nakonfigurovaný.
Další kroky
Po vytvoření instančního objektu a jeho přiřazení k roli v tenantovi Azure Virtual Desktopu ho můžete použít k vytvoření fondu hostitelů. Další informace o fondech hostitelů najdete v kurzu vytvoření fondu hostitelů ve službě Azure Virtual Desktop.