Zelfstudie: Service-principals en roltoewijzingen maken met PowerShell in Azure Virtual Desktop (klassiek)

Service-principals zijn identiteiten die u in Azure Active Directory kunt maken om rollen en machtigingen voor een bepaald doel toe te wijzen. In Azure Virtual Desktop kunt u een service-principal maken voor het volgende:

• Automatiseer specifieke Azure Virtual Desktop-beheertaken.
• Gebruik als referenties in plaats van MFA-vereiste gebruikers bij het uitvoeren van een Azure Resource Manager voor Azure Virtual Desktop.

In deze zelfstudie leert u het volgende:

Vereisten

Voordat u service-principals en roltoewijzingen kunt maken, moet u drie dingen doen:

1. Installeer de AzureAD-module. U installeert de module door PowerShell als een beheerder te starten en de volgende cmdlet uit te voeren:

   Install-Module AzureAD
   

2. Download en importeer de Azure Virtual Desktop PowerShell-module.

3. Volg alle instructies in dit artikel in dezelfde PowerShell-sessie. Het proces werkt mogelijk niet als u de PowerShell-sessie onderbreekt door het venster te sluiten en later opnieuw te openen.

Een service-principal maken in Azure Active Directory

Nadat u aan de vereisten in uw PowerShell-sessie hebt voldaan, voert u de volgende PowerShell-cmdlets uit om een service-principal voor meerdere tenants in Azure te maken.

Import-Module AzureAD
$aadContext = Connect-AzureAD
$svcPrincipal = New-AzureADApplication -AvailableToOtherTenants $true -DisplayName "Windows Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzureADApplicationPasswordCredential -ObjectId $svcPrincipal.ObjectId

Uw referenties weergeven in PowerShell

Voordat u de roltoewijzing voor uw service-principal maakt, bekijkt u uw referenties en noteert u deze voor later. Voor het wachtwoord is belangrijk, want u kunt dit niet ophalen nadat u deze PowerShell-sessie hebt gesloten.

Hier volgen de drie referenties die u moet noteren en de cmdlets die u moet uitvoeren om ze te verkrijgen:

• Wachtwoord:

  $svcPrincipalCreds.Value
  

• Tenant-id:

  $aadContext.TenantId.Guid
  

• Toepassings-id:

  $svcPrincipal.AppId
  

Een roltoewijzing maken in Azure Virtual Desktop

Vervolgens moet u een roltoewijzing maken, zodat de service-principal zich kan aanmelden bij Azure Virtual Desktop. Zorg ervoor dat u zich aanmeldt met een account dat machtigingen heeft om roltoewijzingen te maken.

Download en importeer eerst de Azure Virtual Desktop PowerShell-module voor gebruik in uw PowerShell-sessie als u dat nog niet hebt gedaan.

Voer de volgende PowerShell-cmdlets uit om verbinding te maken met Azure Virtual Desktop en uw tenants weer te geven.

Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant

Wanneer u de naam vindt van de tenant waarvoor u een roltoewijzing wilt maken, gebruikt u die naam in de volgende cmdlet:

$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName

Aanmelden met de service-principal

Nadat u een roltoewijzing voor de service-principal hebt gemaakt, moet u ervoor zorgen dat de service-principal zich kan aanmelden bij Azure Virtual Desktop door de volgende cmdlet uit te uitvoeren:

$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.TenantId.Guid

Nadat u zich hebt aangemeld, moet u ervoor zorgen dat alles werkt door enkele Azure Virtual Desktop PowerShell-cmdlets met de service-principal te testen.

Volgende stappen

Nadat u de service-principal hebt gemaakt en er een rol aan hebt toegewezen in uw Azure Virtual Desktop-tenant, kunt u deze gebruiken om een hostgroep te maken. Voor meer informatie over hostgroepen gaat u verder met de zelfstudie voor het maken van een hostgroep in Azure Virtual Desktop.