Руководство по созданию субъектов-служб и назначений ролей в Виртуальном рабочем столе Azure (классическом) с помощью PowerShell
Важно!
Это содержимое применимо к Виртуальному рабочему столу Azure (классическому), который не поддерживает объекты Azure Resource Manager для Виртуального рабочего стола Azure.
Субъекты-службы — это удостоверения, которые можно создать в идентификаторе Microsoft Entra для назначения ролей и разрешений для определенной цели. В Виртуальном рабочем столе Azure вы можете создать субъект-службу для решения следующих задач:
- автоматизация определенных задач управления Виртуального рабочего стола Azure;
- использование в качестве учетных данных вместо пользователей Многофакторной идентификации при использовании какого-либо из шаблонов Resource Manager в Виртуальном рабочем столе Azure.
Из этого руководства вы узнаете, как:
- Создайте субъект-службу в идентификаторе Microsoft Entra.
- создание назначения ролей в Виртуальном рабочем столе Azure;
- вход в Виртуальный рабочий стол Azure с помощью субъекта-службы.
Необходимые компоненты
Прежде чем создавать субъекты-службы и назначения ролей, необходимо выполнить следующие действия:
Выполните действия по установке модуля Azure Az PowerShell.
Скачайте и импортируйте модуль PowerShell для Виртуального рабочего стола Azure.
Важно!
Вам нужно выполнить все инструкции в этой статье в рамках одного сеанса PowerShell. Этот процесс может не выполняться при прерывании сеанса PowerShell путем закрытия окна и его повторного открытия.
Создание субъекта-службы в идентификаторе Microsoft Entra
Выполнив все предварительные требования в сеансе PowerShell, запустите указанные ниже командлеты PowerShell, чтобы создать мультитенатный субъект-службу в Azure.
Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id
Просмотр учетных данных в PowerShell
Прежде чем создавать назначение ролей для субъекта-службы, просмотрите учетные данные и запишите их для дальнейшего использования. Особенно это касается пароля, так как вы не сможете получить его после закрытия этого сеанса PowerShell.
Ниже приведены три значения, которые необходимо записать, и командлеты, которые необходимо выполнить, чтобы получить их:
Пароль:
$svcPrincipalCreds.SecretTextИдентификатор клиента:
$aadContext.Tenant.IdИдентификатор приложения:
$svcPrincipal.AppId
Создание назначения ролей в Виртуальном рабочем столе Azure
Затем необходимо создать назначение ролей, чтобы субъект-служба мог войти в Виртуальный рабочий стол Azure. Обязательно войдите с учетной записью, у которой есть разрешения создавать назначения ролей.
Сначала скачайте и импортируйте модуль PowerShell для Виртуального рабочего стола Azure, чтобы использовать его в сеансе PowerShell (если вы еще этого не сделали).
Выполните приведенные ниже командлеты PowerShell, чтобы подключиться к Виртуальному рабочему столу Azure и отобразить клиенты.
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant
Когда вы обнаружите имя клиента, для которого нужно создать назначение ролей, включите это имя в следующий командлет:
$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName
Вход с помощью субъекта-службы
После создания назначения ролей для субъекта-службы удостоверьтесь в том, что субъект-служба может войти в Виртуальный рабочий стол Azure, запустив следующий командлет.
$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id
Если вы можете выполнить вход успешно, субъект-служба настроена правильно.
Следующие шаги
После создания субъекта-службы и назначения ему роли в клиенте Виртуального рабочего стола Azure его можно использовать для создания пула узлов. Дополнительные сведения см. в руководстве по созданию пула узлов в Виртуальном рабочем столе Azure.