Tutorial: Erstellen eines Mandanten in Azure Virtual Desktop (klassisch)

  • Artikel

Wichtig

  • Dieser Inhalt gilt für Azure Virtual Desktop (klassisch). Der Dienst unterstützt keine Azure Virtual Desktop-Objekte in Azure Resource Manager.

  • Seit dem 30. September 2023 können für Azure Virtual Desktop (klassisch) keine neuen Mandanten mehr erstellt werden. Azure Virtual Desktop (klassisch) wird am 30. September 2026eingestellt. Sie sollten vor diesem Datum zu Azure Virtual Desktop wechseln. Weitere Informationen finden Sie unter Einstellung von Azure Virtual Desktop (klassisch).

Die Erstellung eines Mandanten in Azure Virtual Desktop ist der erste Schritt bei der Entwicklung Ihrer Desktopvirtualisierungslösung. Ein Mandant umfasst eine Gruppe mit mindestens einem Hostpool. Jeder Hostpool besteht aus mehreren Sitzungshosts, die als virtuelle Computer in Azure ausgeführt und beim Azure Virtual Desktop-Dienst registriert werden. Darüber hinaus umfasst jeder Hostpool mindestens eine Anwendungsgruppe, die verwendet wird, um Desktop- und Anwendungsressourcen für Benutzer*innen zu veröffentlichen. Mit einem Mandanten können Sie Hostpools und Anwendungsgruppen erstellen, Benutzer*innen zuweisen und Verbindungen über den Dienst herstellen.

In diesem Tutorial lernen Sie Folgendes:

  • Erteilen von Microsoft Entra-Berechtigungen für den Azure Virtual Desktop-Dienst
  • Zuweisen der Anwendungsrolle „TenantCreator“ zu Benutzer*innen in Ihrem Microsoft Entra-Mandanten
  • Erstellen Sie einen Azure Virtual Desktop-Mandanten.

Erforderliche Komponenten zum Einrichten eines Mandanten

Bevor Sie mit der Einrichtung Ihres Azure Virtual Desktop-Mandanten beginnen, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • Die Microsoft Entra ID-Mandanten-ID für Azure Virtual Desktop-Benutzer*innen
  • Ein globales Administratorkonto innerhalb des Microsoft Entra Mandanten
    • Dies gilt auch für CSP-Organisationen (Cloud Solution Provider), die einen Azure Virtual Desktop-Mandanten für ihre Kunden erstellen. Wenn Sie einer CSP-Organisation angehören, müssen Sie sich als globale*r Administrator*in der Microsoft Entra-Instanz des Kunden anmelden können.
    • Das Administratorkonto muss aus dem Microsoft Entra-Mandanten stammen, in dem Sie den Azure Virtual Desktop-Mandanten erstellen möchten. Microsoft Entra B2B-Konten (Gastkonten) werden bei diesem Prozess nicht unterstützt.
    • Das Administratorkonto muss ein Geschäfts-, Schul- oder Unikonto sein.
  • Ein Azure-Abonnement.

Sie müssen die Mandanten-ID, das globale Administratorkonto und das Azure-Abonnement bereithalten, damit das in diesem Tutorial beschriebene Verfahren ordnungsgemäß funktioniert.

Erteilen von Berechtigungen für Azure Virtual Desktop

Wenn Sie Azure Virtual Desktop bereits Berechtigungen für diese Microsoft Entra-Instanz erteilt haben, überspringen Sie diesen Abschnitt.

Wenn Sie dem Azure Virtual Desktop-Dienst diese Berechtigungen erteilen, kann dieser Microsoft Entra ID für Verwaltungs- und Endbenutzeraufgaben abfragen.

Gewähren Sie die Dienstberechtigungen wie folgt:

  1. Öffnen Sie einen Browser, und starten Sie den Administratoreinwilligungsflow für die Azure Virtual Desktop-Server-App.

    Hinweis

    Wenn Sie einen Kunden verwalten und die Administratoreinwilligung für das Verzeichnis des Kunden erteilen müssen, geben Sie die folgende URL in den Browser ein. Ersetzen Sie dabei „{tenant}“ durch den Microsoft Entra-Domänennamen des Kunden. Hat die Organisation des Kunden beispielsweise den Microsoft Entra-Domänennamen „contoso.onmicrosoft.com“ registriert, ersetzen Sie „{tenant}“ durch „contoso.onmicrosoft.com“.

    https://login.microsoftonline.com/{tenant}/adminconsent?client_id=5a0aa725-4958-4b0c-80a9-34562e23f3b7&redirect_uri=https%3A%2F%2Frdweb.wvd.microsoft.com%2FRDWeb%2FConsentCallback

  2. Melden Sie sich auf der Azure Virtual Desktop-Seite für die Einwilligung mit dem Konto eines globalen Administrators an. Wenn Sie für die Organisation Contoso arbeiten, lautet Ihr Kontoname beispielsweise admin@contoso.com oder admin@contoso.onmicrosoft.com.

  3. Wählen Sie Akzeptieren aus.

  4. Warten Sie eine Minute, damit Microsoft Entra ID die Einwilligung aufzeichnen kann.

  5. Öffnen Sie einen Browser, und starten Sie den Administratoreinwilligungsflow für die Azure Virtual Desktop-Client-App.

    Hinweis

    Wenn Sie einen Kunden verwalten und die Administratoreinwilligung für das Verzeichnis des Kunden erteilen müssen, geben Sie die folgende URL in den Browser ein. Ersetzen Sie dabei „{tenant}“ durch den Microsoft Entra-Domänennamen des Kunden. Hat die Organisation des Kunden beispielsweise den Microsoft Entra-Domänennamen „contoso.onmicrosoft.com“ registriert, ersetzen Sie „{tenant}“ durch „contoso.onmicrosoft.com“.

    https://login.microsoftonline.com/{tenant}/adminconsent?client_id=fa4345a4-a730-4230-84a8-7d9651b86739&redirect_uri=https%3A%2F%2Frdweb.wvd.microsoft.com%2FRDWeb%2FConsentCallback

  6. Melden Sie sich wie in Schritt 2 auf der Azure Virtual Desktop-Seite für die Einwilligung als globaler Administrator an.

  7. Wählen Sie Akzeptieren aus.

Zuweisen der Anwendungsrolle „TenantCreator“

Wenn die Anwendungsrolle „TenantCreator“ einem*einer Microsoft Entra-Benutzer*in zugewiesen wird, kann dieser bzw. diese einen Azure Virtual Desktop-Mandanten erstellen, der der entsprechenden Microsoft Entra-Instanz zugeordnet ist. Sie müssen Ihr globales Administratorkonto verwenden, um die Rolle „TenantCreator“ zuzuweisen.

So weisen Sie die Anwendungsrolle „TenantCreator“ zu

  1. Navigieren Sie zum Azure-Portal, um die Anwendungsrolle „TenantCreator“ zu verwalten. Suchen Sie nach Unternehmensanwendungen, und wählen Sie die entsprechende Option aus. Wenn Sie mehrere Microsoft Entra-Mandanten verwenden, empfiehlt es sich, eine private Browsersitzung zu öffnen, die URLs zu kopieren und in die Adressleiste einzufügen.

    Screenshot of searching for Enterprise applications in the Azure portal

  2. Suchen Sie unter Unternehmensanwendungen nach Azure Virtual Desktop. Die beiden Anwendungen, für die Sie im vorherigen Abschnitt die Einwilligung erteilt haben, werden angezeigt. Wählen Sie bei diesen beiden Apps Azure Virtual Desktop aus.

  3. Wählen Sie Benutzer und Gruppen. Unter Umständen wird der Administrator, der die Zustimmung für die Anwendung erteilt hat, bereits mit der zugewiesenen Rolle Standardzugriff aufgeführt. Für die Erstellung eines Azure Virtual Desktop-Mandanten ist dies jedoch nicht ausreichend. Führen Sie die weiteren Schritte dieser Anleitung aus, um einem Benutzer die Rolle TenantCreator hinzuzufügen.

  4. Wählen Sie die Schaltfläche Benutzer hinzufügen und anschließend auf der Registerkarte Zuweisung hinzufügen die Option Benutzer und Gruppen aus.

  5. Suchen Sie nach einem Benutzerkonto, das zum Erstellen Ihres Azure Virtual Desktop-Mandanten verwendet wird. Der Einfachheit halber kann dies das globale Administratorkonto sein.

    • Wenn Sie einen Microsoft-Identitätsanbieter wie contosoadmin@live.com oder contosoadmin@outlook.com verwenden, können Sie sich möglicherweise nicht bei Azure Virtual Desktop anmelden. Stattdessen wird die Verwendung eines domänenspezifischen Kontos wie admin@contoso.com oder admin@contoso.onmicrosoft.com empfohlen.

    A screenshot of selecting a user to add as

    Hinweis

    Sie müssen einen/eine Benutzer*in (oder eine Gruppe mit einem/einer Benutzer*in) auswählen, der bzw. die aus dieser Microsoft Entra-Instanz stammt. Sie können keinen Gastbenutzer (B2B) und keinen Dienstprinzipal auswählen.

  6. Wählen Sie das Benutzerkonto, die Schaltfläche Auswählen und dann Zuweisen aus.

  7. Vergewissern Sie sich auf der Seite Azure Virtual Desktop – Benutzer und Gruppen, dass für den Benutzer, der den Azure Virtual Desktop-Mandanten erstellt, ein neuer Eintrag mit der zugewiesenen Rolle TenantCreator angezeigt wird.

Bevor Sie mit der Erstellung Ihres Azure Virtual Desktop-Mandanten fortfahren, benötigen Sie die beiden folgenden Angaben:

  • Ihre Microsoft Entra-Mandanten-ID (oder Verzeichnis-ID)
  • ID Ihres Azure-Abonnements

So finden Sie Ihre Microsoft Entra-Mandanten-ID (oder Verzeichnis-ID)

  1. Suchen Sie in derselben Sitzung im Azure-Portal nach Microsoft Entra ID, und wählen Sie die entsprechende Option aus.

    A screenshot of the search results for

  2. Scrollen Sie nach unten zu Eigenschaften, und wählen Sie die Option aus.

  3. Suchen Sie nach der Verzeichnis-ID, und wählen Sie das Symbol für die Zwischenablage aus. Fügen Sie sie an einem gut erreichbaren Ort ein, um sie später als AadTenantId verwenden zu können.

    A screenshot of the Microsoft Entra properties. The mouse is hovering over the clipboard icon for

So ermitteln Sie Ihre Azure-Abonnement-ID:

  1. Suchen Sie in der gleichen Sitzung im Azure-Portal nach Abonnements, und wählen Sie die entsprechende Option aus.

    A screenshot of the search results for

  2. Wählen Sie das Azure-Abonnement aus, mit dem Sie Benachrichtigungen des Azure Virtual Desktop-Diensts empfangen möchten.

  3. Zeigen Sie auf den Wert der Abonnement-ID, bis ein Symbol für die Zwischenablage angezeigt wird. Wählen Sie das Symbol für die Zwischenablage aus, und fügen Sie den Wert an einem gut erreichbaren Ort ein, um ihn später als Wert für AzureSubscriptionId verwenden zu können.

    A screenshot of the Azure subscription properties. The mouse is hovering over the clipboard icon for

Erstellen eines Azure Virtual Desktop-Mandanten

Nachdem Sie die Azure Virtual Desktop-Dienstberechtigungen zum Abfragen von Microsoft Entra ID gewährt und die Rolle „TenantCreator“ einem Benutzerkonto zugewiesen haben, können Sie nun einen Azure Virtual Desktop-Mandanten erstellen.

Sofern noch nicht geschehen, müssen Sie zunächst das Azure Virtual Desktop-Modul herunterladen und importieren, um es in Ihrer PowerShell-Sitzung verwenden zu können.

Verwenden Sie das folgende Cmdlet, um sich mit dem TenantCreator-Benutzerkonto bei Azure Virtual Desktop anzumelden:

Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"

Erstellen Sie anschließend einen neuen Azure Virtual Desktop-Mandanten, der dem Microsoft Entra-Mandanten zugeordnet ist:

New-RdsTenant -Name <TenantName> -AadTenantId <DirectoryID> -AzureSubscriptionId <SubscriptionID>

Ersetzen Sie die Werte in Klammern durch die Werte, die für Ihre Organisation und den Mandanten relevant sind. Der Name, den Sie für Ihren neuen Azure Virtual Desktop-Mandanten festlegen, muss global eindeutig sein. Angenommen, Sie sind der TenantCreator für Azure Virtual Desktop für die Organisation Contoso. Das auszuführende Cmdlet sieht dann wie folgt aus:

New-RdsTenant -Name Contoso -AadTenantId 00000000-1111-2222-3333-444444444444 -AzureSubscriptionId 55555555-6666-7777-8888-999999999999

Es ist ratsam, einem zweiten Benutzer Administratorzugriff zuzuweisen, falls Sie sich einmal aus Ihrem Konto aussperren oder Urlaub nehmen und ein anderer Benutzer in Ihrer Abwesenheit die Aufgaben des Mandantenadministrators übernehmen muss. Führen Sie zum Zuweisen des Administratorzugriffs zu einem zweiten Benutzer das folgende Cmdlet mit <TenantName> und <Upn> aus. Ersetzen Sie diese Platzhalter durch Ihren Mandantennamen und den UPN des zweiten Benutzers.

New-RdsRoleAssignment -TenantName <TenantName> -SignInName <Upn> -RoleDefinitionName "RDS Owner"

Nächste Schritte

Nachdem Sie Ihren Mandanten erstellt haben, müssen Sie in Microsoft Entra ID einen Dienstprinzipal erstellen und ihm eine Rolle in Azure Virtual Desktop zuweisen. Dieser Dienstprinzipal ermöglicht Ihnen eine erfolgreiche Bereitstellung des Azure Marketplace-Angebots für Azure Virtual Desktop zur Erstellung eines Hostpools. Weitere Informationen zu Hostpools finden Sie im Tutorial zum Erstellen eines Hostpools in Azure Virtual Desktop.

Erstellen von Dienstprinzipalen und Rollenzuweisungen mit PowerShell