通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:在 Azure 虚拟桌面(经典)中创建租户

  • 项目

重要

  • 此内容适用于 Azure 虚拟桌面(经典),后者不支持 Azure 资源管理器 Azure 虚拟桌面对象。

  • 2023 年 9 月 30 日开始,将无法再创建新的 Azure 虚拟桌面(经典)租户。 Azure 虚拟桌面(经典)将于 2026 年 9 月 30 日停用。 应在该日期之前过渡到 Azure 虚拟桌面 。 有关详细信息,请参阅 Azure 虚拟桌面(经典)停用

在 Azure 虚拟桌面中创建租户是生成桌面虚拟化解决方案的第一步。 租户是由一个或多个主机池构成的组。 每个主机池包含多个会话主机,这些主机作为虚拟机在 Azure 中运行,并注册到 Azure 虚拟桌面服务。 每个主机池还包含用于向用户发布桌面和应用程序资源的一个或多个应用程序组。 使用租户可以生成主机池、创建应用程序组、分配用户,以及通过服务建立连接。

本教程介绍如何执行下列操作:

  • 向 Microsoft Entra 授予对 Azure 虚拟桌面服务的权限。
  • 将 TenantCreator 应用程序角色分配给 Microsoft Entra 租户中的用户。
  • 创建 Azure 虚拟桌面租户。

设置租户需要什么技术

在开始设置 Azure 虚拟桌面租户之前,请确保做好以下准备:

  • Azure 虚拟桌面用户的 Microsoft Entra ID 租户 ID。
  • Microsoft Entra 租户中的全局管理员帐户。
    • 这也适用于要为其客户创建 Azure 虚拟桌面租户的云解决方案提供商 (CSP) 组织。 如果你在 CSP 组织中,则必须能够以客户的 Microsoft Entra 实例的全局管理员身份登录。
    • 管理员帐户必须源自你尝试在其中创建 Azure 虚拟桌面租户的 Microsoft Entra 租户。 此过程不支持 Microsoft Entra B2B(来宾)帐户。
    • 管理员帐户必须是工作或学校帐户。
  • Azure 订阅。

必须准备好租户 ID、全局管理员帐户和 Azure 订阅,以便本教程中所述的过程能够正常工作。

向 Azure 虚拟桌面授予权限

如果已为此 Microsoft Entra 实例授予 Azure 虚拟桌面的权限,请跳过本部分。

向 Azure 虚拟桌面服务授予权限可让该服务在 Microsoft Entra ID 中查询管理任务和最终用户任务。

向该服务授予权限:

  1. 打开浏览器并开始使用 Azure 虚拟桌面服务器应用的管理员同意流。

    注意

    如果你管理客户并需要为客户的目录授予管理员同意,请在浏览器中输入以下 URL,并将 {tenant} 替换为客户的 Microsoft Entra 域名。 例如,如果客户的组织已注册了 Microsoft Entra 域名 contoso.onmicrosoft.com,请将 {tenant} 替换为 contoso.onmicrosoft.com。

    https://login.microsoftonline.com/{tenant}/adminconsent?client_id=5a0aa725-4958-4b0c-80a9-34562e23f3b7&redirect_uri=https%3A%2F%2Frdweb.wvd.microsoft.com%2FRDWeb%2FConsentCallback

  2. 使用全局管理员帐户登录到 Azure 虚拟桌面同意页。 例如,如果你所在的组织是 Contoso,则你的帐户可能是 admin@contoso.com 或 admin@contoso.onmicrosoft.com。

  3. 选择“接受”。

  4. 等待一分钟,以便 Microsoft Entra ID 可以记录同意。

  5. 打开浏览器并开始使用 Azure 虚拟桌面客户端应用的管理员同意流。

    注意

    如果你管理客户并需要为客户的目录授予管理员同意,请在浏览器中输入以下 URL,并将 {tenant} 替换为客户的 Microsoft Entra 域名。 例如,如果客户的组织已注册了 Microsoft Entra 域名 contoso.onmicrosoft.com,请将 {tenant} 替换为 contoso.onmicrosoft.com。

    https://login.microsoftonline.com/{tenant}/adminconsent?client_id=fa4345a4-a730-4230-84a8-7d9651b86739&redirect_uri=https%3A%2F%2Frdweb.wvd.microsoft.com%2FRDWeb%2FConsentCallback

  6. 像在步骤 2 中一样,以全局管理员的身份登录到 Azure 虚拟桌面同意页。

  7. 选择“接受”。

分配 TenantCreator 应用程序角色

为 Microsoft Entra 用户分配 TenantCreator 应用程序角色可让该用户创建与 Microsoft Entra 实例关联的 Azure 虚拟桌面租户。 需要使用全局管理员帐户分配 TenantCreator 角色。

若要分配 TenantCreator 应用程序角色:

  1. 转到 Azure 门户以管理 TenantCreator 应用程序角色。 搜索并选择“企业应用程序”。 如果使用多个 Microsoft Entra 租户,则最好打开私密浏览器会话,然后将 URL 复制粘贴到地址栏。

    在 Azure 门户中搜索企业应用程序的屏幕截图

  2. 在“企业应用程序”中,搜索“Azure 虚拟桌面” 。 将会看到在前一部分中提供了许可的两个应用程序。 在这两个应用中,选择“Azure 虚拟桌面”。

  3. 选择“用户和组” 。 你可能会看到,已列出授予应用程序许可的管理员且已分配“默认访问”角色。 但这还不足以创建 Azure 虚拟桌面租户。 请继续按照这些说明向用户添加 TenantCreator 角色。

  4. 选择“添加用户”,然后在“添加分配”选项卡中选择“用户和组” 。

  5. 搜索用于创建 Azure 虚拟桌面租户的用户帐户。 为简单起见,可以使用全局管理员帐户。

    • 如果使用的是 Microsoft 标识提供者(例如 contosoadmin@live.com 或 contosoadmin@outlook.com),则可能无法登录到 Azure 虚拟桌面。 建议改为使用特定于域的帐户(如 admin@contoso.com 或 admin@contoso.onmicrosoft.com)。

    注意

    必须选择来自此 Microsoft Entra 实例的用户(或包含用户的组)。 无法选择来宾 (B2B) 用户或服务主体。

  6. 选择该用户帐户,选择“选择”按钮,然后选择“分配”。

  7. 在“Azure 虚拟桌面 - 用户和组”页面上,验证是否看到有新条目显示向要创建 Azure 虚拟桌面租户的用户分配了 TenantCreator 角色 。

在继续创建 Azure 虚拟桌面租户之前,需要提供以下两项信息:

  • Microsoft Entra 租户 ID(或目录 ID
  • Azure 订阅 ID

若要查找 Microsoft Entra 租户 ID(或目录 ID):

  1. 在同一 Azure 门户会话中,搜索并选择 Microsoft Entra ID

    Azure 门户中“Microsoft Entra ID”搜索结果的屏幕截图。“服务”下的搜索结果突出显示。

  2. 向下滚动直到找到“属性”,然后将其选中。

  3. 查找“目录 ID”,然后选择剪贴板图标。 将其粘贴到方便的位置,以便稍后可将其用作 AadTenantId 值。

    Microsoft Entra 属性的屏幕截图。将鼠标悬停在剪贴板图标上来复制粘贴“目录 ID”。

要查找 Azure 订阅 ID,请执行以下操作:

  1. 在同一 Azure 门户会话中,搜索并选择“订阅”。

    Azure 门户中“Microsoft Entra ID”搜索结果的屏幕截图。突出显示了“服务”的搜索结果。

  2. 选择要用于接收 Azure 虚拟桌面服务通知的 Azure 订阅。

  3. 查找“订阅 ID”,然后将鼠标悬停在该值上,直到出现剪贴板图标。 选择剪贴板图标,再将其粘贴到方便的位置,以便稍后可将其用作 AzureSubscriptionId 值。

    Azure 订阅属性的屏幕截图。将鼠标悬停在剪贴板图标上来复制并粘贴“订阅 ID”。

创建 Azure 虚拟桌面租户

向 Azure 虚拟桌面服务授予查询 Microsoft Entra ID 的权限并将 TenantCreator 角色分配到用户帐户后,可以创建 Azure 虚拟桌面租户。

首先下载并导入 Azure 虚拟桌面模块(如果尚未这样做),以便在 PowerShell 会话中使用。

运行以下 cmdlet,使用 TenantCreator 用户帐户登录到 Azure 虚拟桌面:

Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"

然后,创建与 Microsoft Entra 租户关联的新 Azure 虚拟桌面租户:

New-RdsTenant -Name <TenantName> -AadTenantId <DirectoryID> -AzureSubscriptionId <SubscriptionID>

将带方括号的值替换为与组织和租户相关的值。 为新的 Azure 虚拟桌面租户选择的名称应全局唯一。 例如,假设你是 Contoso 组织的 Azure 虚拟桌面 TenantCreator, 则运行的 cmdlet 如下所示:

New-RdsTenant -Name Contoso -AadTenantId 00000000-1111-2222-3333-444444444444 -AzureSubscriptionId 55555555-6666-7777-8888-999999999999

最好为另一个用户分配管理访问权限,以应对自己被锁定在帐户外或者在休假时需要有人充当你缺勤时的租户管理员的情况。 若要为另一个用户分配管理员访问权限,请运行以下 cmdlet,并将 <TenantName><Upn> 替换为你的租户名称和这第二个用户的 UPN。

New-RdsRoleAssignment -TenantName <TenantName> -SignInName <Upn> -RoleDefinitionName "RDS Owner"

后续步骤

创建租户后,需要在 Microsoft Entra ID 中创建服务主体并在 Azure 虚拟桌面中为其分配角色。 通过服务主体可以成功部署 Azure 虚拟桌面 Azure 市场产品/服务来创建主机池。 若要详细了解主机池,请继续学习有关在 Azure 虚拟桌面中创建主机池的教程。

使用 PowerShell 创建服务主体和角色分配