Tutorial: Membuat perwakilan layanan dan penetapan peran dengan PowerShell di Azure Virtual Desktop (klasik)
Penting
Konten ini berlaku untuk Azure Virtual Desktop (klasik), yang tidak mendukung objek Azure Resource Manager Azure Virtual Desktop.
Perwakilan layanan adalah identitas yang dapat Anda buat di ID Microsoft Entra untuk menetapkan peran dan izin untuk tujuan tertentu. Di Azure Virtual Desktop, Anda dapat membuat perwakilan layanan untuk:
- Mengotomatiskan tugas manajemen Azure Virtual Desktop tertentu.
- Gunakan sebagai info masuk sebagai pengganti pengguna yang memerlukan MFA saat menjalankan templat Azure Resource Manager apa pun untuk Azure Virtual Desktop.
Dalam tutorial ini, Anda akan mempelajari cara:
- Buat perwakilan layanan di ID Microsoft Entra.
- Membuat penetapan peran di Azure Virtual Desktop.
- Masuk ke Azure Virtual Desktop dengan menggunakan perwakilan layanan.
Prasyarat
Sebelum Anda dapat membuat perwakilan layanan dan penetapan peran, Anda perlu melakukan hal berikut:
Ikuti langkah-langkah untuk Menginstal modul Azure Az PowerShell.
Penting
Ikuti semua instruksi dalam artikel ini di sesi PowerShell yang sama. Proses ini mungkin tidak berfungsi jika Anda mengganggu sesi PowerShell dengan menutup jendela dan membukanya kembali nanti.
Membuat perwakilan layanan di ID Microsoft Entra
Setelah Anda memenuhi prasyarat dalam sesi PowerShell Anda, jalankan cmdlet PowerShell berikut untuk membuat perwakilan layanan multitenant di Azure.
Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id
Menampilkan informasi masuk Anda di PowerShell
Sebelum Anda membuat penetapan peran untuk perwakilan layanan Anda, lihat informasi masuk Anda dan tuliskan untuk referensi di masa mendatang. Kata sandi sangat penting karena Anda tidak akan dapat mengambilnya setelah Anda menutup sesi PowerShell ini.
Berikut adalah tiga nilai yang harus Anda tulis dan cmdlet yang perlu Anda jalankan untuk mendapatkannya:
Kata sandi:
$svcPrincipalCreds.SecretTextID Penyewa:
$aadContext.Tenant.IdID Aplikasi:
$svcPrincipal.AppId
Membuat penetapan peran di Azure Virtual Desktop
Selanjutnya, Anda perlu membuat penetapan peran sehingga perwakilan layanan dapat masuk ke Azure Virtual Desktop. Pastikan untuk masuk dengan akun yang memiliki izin untuk membuat penetapan peran.
Pertama, unduh dan impor modul Azure Virtual Desktop PowerShell untuk digunakan dalam sesi PowerShell Anda, jika Anda belum melakukannya.
Jalankan cmdlet PowerShell berikut untuk menyambungkan ke Azure Virtual Desktop dan menampilkan penyewa Anda.
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant
Saat Anda menemukan nama penyewa untuk penyewa yang ingin Anda buat penetapan perannya, gunakan nama tersebut di cmdlet berikut:
$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName
Masuk dengan perwakilan layanan
Setelah Anda membuat penetapan peran untuk perwakilan layanan, pastikan perwakilan layanan dapat masuk ke Azure Virtual Desktop dengan menjalankan cmdlet berikut:
$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id
Jika Anda berhasil masuk, perwakilan layanan Anda dikonfigurasi dengan benar.
Langkah berikutnya
Setelah Anda membuat perwakilan layanan dan menetapkannya sebagai peran dalam penyewa Azure Virtual Desktop Anda, Anda dapat menggunakannya untuk membuat kumpulan host. Untuk mempelajari kumpulan host selengkapnya, lanjutkan ke tutorial untuk membuat kumpulan host di Azure Virtual Desktop.