Samouczek: tworzenie jednostek usługi i przypisań ról za pomocą programu PowerShell w usłudze Azure Virtual Desktop (wersja klasyczna)
Ważne
Ta zawartość dotyczy usługi Azure Virtual Desktop (klasycznej), która nie obsługuje obiektów usługi Azure Resource Manager usługi Azure Virtual Desktop.
Jednostki usługi to tożsamości, które można utworzyć w usłudze Microsoft Entra ID w celu przypisania ról i uprawnień do określonego celu. W usłudze Azure Virtual Desktop możesz utworzyć jednostkę usługi w celu:
- Automatyzowanie określonych zadań zarządzania usługą Azure Virtual Desktop.
- Użyj jako poświadczeń zamiast użytkowników wymaganych przez uwierzytelnianie wieloskładnikowe podczas uruchamiania dowolnego szablonu usługi Azure Resource Manager dla usługi Azure Virtual Desktop.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Utwórz jednostkę usługi w identyfikatorze Entra firmy Microsoft.
- Utwórz przypisanie roli w usłudze Azure Virtual Desktop.
- Zaloguj się do usługi Azure Virtual Desktop przy użyciu jednostki usługi.
Wymagania wstępne
Przed utworzeniem jednostek usługi i przypisań ról należy wykonać następujące czynności:
Postępuj zgodnie z instrukcjami, aby zainstalować moduł Azure Az programu PowerShell.
Pobierz i zaimportuj moduł Programu PowerShell usługi Azure Virtual Desktop.
Ważne
Postępuj zgodnie ze wszystkimi instrukcjami w tym artykule w tej samej sesji programu PowerShell. Proces może nie działać, jeśli przerywasz sesję programu PowerShell, zamykając okno i ponownie otwierając je później.
Tworzenie jednostki usługi w identyfikatorze Entra firmy Microsoft
Po spełnieniu wymagań wstępnych w sesji programu PowerShell uruchom następujące polecenia cmdlet programu PowerShell, aby utworzyć wielodostępną jednostkę usługi na platformie Azure.
Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id
Wyświetlanie poświadczeń w programie PowerShell
Przed utworzeniem przypisania roli dla jednostki usługi wyświetl swoje poświadczenia i zapisz je w celu uzyskania informacji w przyszłości. Hasło jest szczególnie ważne, ponieważ nie będzie można go pobrać po zamknięciu tej sesji programu PowerShell.
Poniżej przedstawiono trzy wartości, które należy zapisać, oraz polecenia cmdlet, które należy uruchomić, aby je pobrać:
Hasło:
$svcPrincipalCreds.SecretTextIdentyfikator dzierżawy:
$aadContext.Tenant.IdIdentyfikator aplikacji:
$svcPrincipal.AppId
Tworzenie przypisania roli w usłudze Azure Virtual Desktop
Następnie należy utworzyć przypisanie roli, aby jednostka usługi mogła zalogować się do usługi Azure Virtual Desktop. Pamiętaj, aby zalogować się przy użyciu konta z uprawnieniami do tworzenia przypisań ról.
Najpierw pobierz i zaimportuj moduł Programu PowerShell usługi Azure Virtual Desktop do użycia w sesji programu PowerShell, jeśli jeszcze tego nie zrobiono.
Uruchom następujące polecenia cmdlet programu PowerShell, aby nawiązać połączenie z usługą Azure Virtual Desktop i wyświetlić dzierżawy.
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant
Jeśli znajdziesz nazwę dzierżawy dla dzierżawy, dla której chcesz utworzyć przypisanie roli, użyj tej nazwy w następującym poleceniu cmdlet:
$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName
Zaloguj się przy użyciu jednostki usługi
Po utworzeniu przypisania roli dla jednostki usługi upewnij się, że jednostka usługi może zalogować się do usługi Azure Virtual Desktop, uruchamiając następujące polecenie cmdlet:
$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id
Jeśli możesz pomyślnie się zalogować, jednostka usługi jest poprawnie skonfigurowana.
Następne kroki
Po utworzeniu jednostki usługi i przypisaniu jej roli w dzierżawie usługi Azure Virtual Desktop można jej użyć do utworzenia puli hostów. Aby dowiedzieć się więcej na temat pul hostów, przejdź do samouczka dotyczącego tworzenia puli hostów w usłudze Azure Virtual Desktop.