Бөлісу құралы:


Руководство по созданию субъектов-служб и назначений ролей в Виртуальном рабочем столе Azure (классическом) с помощью PowerShell

Важно!

Это содержимое применимо к Виртуальному рабочему столу Azure (классическому), который не поддерживает объекты Azure Resource Manager для Виртуального рабочего стола Azure.

Субъекты-службы — это удостоверения, которые можно создать в идентификаторе Microsoft Entra для назначения ролей и разрешений для определенной цели. В Виртуальном рабочем столе Azure вы можете создать субъект-службу для решения следующих задач:

  • автоматизация определенных задач управления Виртуального рабочего стола Azure;
  • использование в качестве учетных данных вместо пользователей Многофакторной идентификации при использовании какого-либо из шаблонов Resource Manager в Виртуальном рабочем столе Azure.

Из этого руководства вы узнаете, как:

  • Создайте субъект-службу в идентификаторе Microsoft Entra.
  • создание назначения ролей в Виртуальном рабочем столе Azure;
  • вход в Виртуальный рабочий стол Azure с помощью субъекта-службы.

Необходимые компоненты

Прежде чем создавать субъекты-службы и назначения ролей, необходимо выполнить следующие действия:

  1. Выполните действия по установке модуля Azure Az PowerShell.

  2. Скачайте и импортируйте модуль PowerShell для Виртуального рабочего стола Azure.

Важно!

Вам нужно выполнить все инструкции в этой статье в рамках одного сеанса PowerShell. Этот процесс может не выполняться при прерывании сеанса PowerShell путем закрытия окна и его повторного открытия.

Создание субъекта-службы в идентификаторе Microsoft Entra

Выполнив все предварительные требования в сеансе PowerShell, запустите указанные ниже командлеты PowerShell, чтобы создать мультитенатный субъект-службу в Azure.

Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id

Просмотр учетных данных в PowerShell

Прежде чем создавать назначение ролей для субъекта-службы, просмотрите учетные данные и запишите их для дальнейшего использования. Особенно это касается пароля, так как вы не сможете получить его после закрытия этого сеанса PowerShell.

Ниже приведены три значения, которые необходимо записать, и командлеты, которые необходимо выполнить, чтобы получить их:

  • Пароль:

    $svcPrincipalCreds.SecretText
    
  • Идентификатор клиента:

    $aadContext.Tenant.Id
    
  • Идентификатор приложения:

    $svcPrincipal.AppId
    

Создание назначения ролей в Виртуальном рабочем столе Azure

Затем необходимо создать назначение ролей, чтобы субъект-служба мог войти в Виртуальный рабочий стол Azure. Обязательно войдите с учетной записью, у которой есть разрешения создавать назначения ролей.

Сначала скачайте и импортируйте модуль PowerShell для Виртуального рабочего стола Azure, чтобы использовать его в сеансе PowerShell (если вы еще этого не сделали).

Выполните приведенные ниже командлеты PowerShell, чтобы подключиться к Виртуальному рабочему столу Azure и отобразить клиенты.

Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant

Когда вы обнаружите имя клиента, для которого нужно создать назначение ролей, включите это имя в следующий командлет:

$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName

Вход с помощью субъекта-службы

После создания назначения ролей для субъекта-службы удостоверьтесь в том, что субъект-служба может войти в Виртуальный рабочий стол Azure, запустив следующий командлет.

$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id

Если вы можете выполнить вход успешно, субъект-служба настроена правильно.

Следующие шаги

После создания субъекта-службы и назначения ему роли в клиенте Виртуального рабочего стола Azure его можно использовать для создания пула узлов. Дополнительные сведения см. в руководстве по созданию пула узлов в Виртуальном рабочем столе Azure.