Tutorial: Criar um locatário na Área de Trabalho Virtual do Azure (clássico)

  • Artigo

Importante

  • Este conteúdo aplica-se ao Ambiente de Trabalho Virtual do Azure (clássico), que não suporta objetos do Azure Resource Manager do Ambiente de Trabalho Virtual do Azure.

  • A partir de 30 de setembro de 2023, você não poderá mais criar novos locatários (clássicos) da Área de Trabalho Virtual do Azure. A Área de Trabalho Virtual do Azure (clássica) será aposentada em 30 de setembro de 2026. Você deve fazer a transição para a Área de Trabalho Virtual do Azure antes dessa data. Para obter mais informações, consulte Aposentadoria (clássica) da Área de Trabalho Virtual do Azure.

Criar um locatário na Área de Trabalho Virtual do Azure é a primeira etapa para criar sua solução de virtualização de área de trabalho. Um locatário é um grupo de um ou mais pools de hosts. Cada pool de hosts consiste em vários hosts de sessão, executados como máquinas virtuais no Azure e registrados no serviço de Área de Trabalho Virtual do Azure. Cada pool de hosts também consiste em um ou mais grupos de aplicativos que são usados para publicar recursos da área de trabalho e do aplicativo para os usuários. Com um locatário, você pode criar pools de hosts, criar grupos de aplicativos, atribuir usuários e fazer conexões por meio do serviço.

Neste tutorial, saiba como:

  • Conceda permissões do Microsoft Entra ao serviço de Área de Trabalho Virtual do Azure.
  • Atribua a função de aplicativo TenantCreator a um usuário em seu locatário do Microsoft Entra.
  • Crie um locatário da Área de Trabalho Virtual do Azure.

O que precisa para configurar um inquilino

Antes de começar a configurar o locatário da Área de Trabalho Virtual do Azure, verifique se você tem estas coisas:

  • A ID de locatário do Microsoft Entra ID para usuários da Área de Trabalho Virtual do Azure.
  • Uma conta de administrador global dentro do locatário do Microsoft Entra.
    • Isso também se aplica a organizações CSP (Provedor de Soluções na Nuvem) que estão criando um locatário da Área de Trabalho Virtual do Azure para seus clientes. Se você estiver em uma organização CSP, deverá ser capaz de entrar como administrador global da instância do Microsoft Entra do cliente.
    • A conta de administrador deve ser originada do locatário do Microsoft Entra no qual você está tentando criar o locatário da Área de Trabalho Virtual do Azure. Este processo não suporta contas Microsoft Entra B2B (convidado).
    • A conta de administrador deve ser uma conta corporativa ou de estudante.
  • Uma subscrição do Azure.

Você deve ter a ID do locatário, a conta de administrador global e a assinatura do Azure prontas para que o processo descrito neste tutorial possa funcionar corretamente.

Conceder permissões à Área de Trabalho Virtual do Azure

Se já tiver concedido permissões ao Ambiente de Trabalho Virtual do Azure para esta instância do Microsoft Entra, ignore esta secção.

A concessão de permissões ao serviço de Ambiente de Trabalho Virtual do Azure permite-lhe consultar o ID do Microsoft Entra para tarefas administrativas e de utilizador final.

Para conceder as permissões de serviço:

  1. Abra um navegador e inicie o fluxo de consentimento de administrador para o aplicativo de servidor da Área de Trabalho Virtual do Azure.

    Nota

    Se você gerencia um cliente e precisa conceder consentimento de administrador para o diretório do cliente, insira a seguinte URL no navegador e substitua {tenant} pelo nome de domínio Microsoft Entra do cliente. Por exemplo, se a organização do cliente tiver registrado o nome de domínio Microsoft Entra do contoso.onmicrosoft.com, substitua {tenant} por contoso.onmicrosoft.com.

    https://login.microsoftonline.com/{tenant}/adminconsent?client_id=5a0aa725-4958-4b0c-80a9-34562e23f3b7&redirect_uri=https%3A%2F%2Frdweb.wvd.microsoft.com%2FRDWeb%2FConsentCallback

  2. Entre na página de consentimento da Área de Trabalho Virtual do Azure com uma conta de administrador global. Por exemplo, se você estava com a organização da Contoso, sua conta pode ser admin@contoso.com ou admin@contoso.onmicrosoft.com.

  3. Selecione Aceitar.

  4. Aguarde um minuto para que o Microsoft Entra ID possa gravar o consentimento.

  5. Abra um navegador e inicie o fluxo de consentimento de administrador para o aplicativo cliente da Área de Trabalho Virtual do Azure.

    Nota

    Se você gerencia um cliente e precisa conceder consentimento de administrador para o diretório do cliente, insira a seguinte URL no navegador e substitua {tenant} pelo nome de domínio Microsoft Entra do cliente. Por exemplo, se a organização do cliente tiver registrado o nome de domínio Microsoft Entra do contoso.onmicrosoft.com, substitua {tenant} por contoso.onmicrosoft.com.

    https://login.microsoftonline.com/{tenant}/adminconsent?client_id=fa4345a4-a730-4230-84a8-7d9651b86739&redirect_uri=https%3A%2F%2Frdweb.wvd.microsoft.com%2FRDWeb%2FConsentCallback

  6. Entre na página de consentimento da Área de Trabalho Virtual do Azure como administrador global, como fez na etapa 2.

  7. Selecione Aceitar.

Atribuir a função de aplicativo TenantCreator

Atribuir a um usuário do Microsoft Entra a função de aplicativo TenantCreator permite que esse usuário crie um locatário da Área de Trabalho Virtual do Azure associado à instância do Microsoft Entra. Você precisará usar sua conta de administrador global para atribuir a função TenantCreator.

Para atribuir a função de aplicativo TenantCreator:

  1. Vá para o portal do Azure para gerenciar a função de aplicativo TenantCreator. Pesquise e selecione Aplicações empresariais. Se você estiver trabalhando com vários locatários do Microsoft Entra, é uma prática recomendada abrir uma sessão privada do navegador e copiar e colar as URLs na barra de endereço.

    Screenshot of searching for Enterprise applications in the Azure portal

  2. Em aplicativos corporativos, procure Área de Trabalho Virtual do Azure. Você verá os dois aplicativos para os quais forneceu consentimento na seção anterior. Desses dois aplicativos, selecione Área de Trabalho Virtual do Azure.

  3. Selecionar Utilizadores e grupos. Você pode ver que o administrador que concedeu consentimento para o aplicativo já está listado com a função Acesso Padrão atribuída. Isso não é suficiente para criar um locatário da Área de Trabalho Virtual do Azure. Continue seguindo estas instruções para adicionar a função TenantCreator a um usuário.

  4. Selecione Adicionar usuário e, em seguida, selecione Usuários e grupos na guia Adicionar atribuição .

  5. Procure uma conta de usuário que criará seu locatário da Área de Trabalho Virtual do Azure. Para simplificar, esta pode ser a conta de administrador global.

    • Se estiver a utilizar um Microsoft Identity Provider como contosoadmin@live.com ou contosoadmin@outlook.com, poderá não conseguir iniciar sessão no Ambiente de Trabalho Virtual do Azure. Recomendamos o uso de uma conta específica do domínio como admin@contoso.com ou admin@contoso.onmicrosoft.com em vez disso.

    A screenshot of selecting a user to add as

    Nota

    Você deve selecionar um usuário (ou um grupo que contenha um usuário) originário dessa instância do Microsoft Entra. Não é possível escolher um usuário convidado (B2B) ou uma entidade de serviço.

  6. Selecione a conta de utilizador, escolha o botão Selecionar e, em seguida, selecione Atribuir.

  7. Na página Área de Trabalho Virtual do Azure - Usuários e grupos, verifique se você vê uma nova entrada com a função TenantCreator atribuída ao usuário que criará o locatário da Área de Trabalho Virtual do Azure.

Antes de continuar a criar seu locatário da Área de Trabalho Virtual do Azure, você precisa de duas informações:

  • Sua ID de locatário do Microsoft Entra (ou ID de diretório)
  • Sua ID de assinatura do Azure

Para localizar sua ID de locatário do Microsoft Entra (ou ID de diretório):

  1. Na mesma sessão do portal do Azure, procure e selecione Microsoft Entra ID.

    A screenshot of the search results for

  2. Desloque-se para baixo até encontrar Propriedades e, em seguida, selecione-o.

  3. Procure ID do diretório e selecione o ícone da área de transferência. Cole-o em um local prático para que você possa usá-lo mais tarde como o valor AadTenantId .

    A screenshot of the Microsoft Entra properties. The mouse is hovering over the clipboard icon for

Para encontrar sua ID de assinatura do Azure:

  1. Na mesma sessão do portal do Azure, pesquise e selecione Assinaturas.

    A screenshot of the search results for

  2. Selecione a assinatura do Azure que você deseja usar para receber notificações do serviço de Área de Trabalho Virtual do Azure.

  3. Procure por ID da assinatura e passe o mouse sobre o valor até que um ícone da área de transferência apareça. Selecione o ícone da área de transferência e cole-o em um local prático para que você possa usá-lo mais tarde como o valor AzureSubscriptionId .

    A screenshot of the Azure subscription properties. The mouse is hovering over the clipboard icon for

Criar um locatário da Área de Trabalho Virtual do Azure

Agora que você concedeu permissões ao serviço Área de Trabalho Virtual do Azure para consultar a ID do Microsoft Entra e atribuiu a função TenantCreator a uma conta de usuário, você pode criar um locatário da Área de Trabalho Virtual do Azure.

Primeiro, baixe e importe o módulo de Área de Trabalho Virtual do Azure para usar em sua sessão do PowerShell, caso ainda não o tenha feito.

Entre na Área de Trabalho Virtual do Azure usando a conta de usuário TenantCreator com este cmdlet:

Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"

Depois disso, crie um novo locatário da Área de Trabalho Virtual do Azure associado ao locatário do Microsoft Entra:

New-RdsTenant -Name <TenantName> -AadTenantId <DirectoryID> -AzureSubscriptionId <SubscriptionID>

Substitua os valores entre colchetes por valores relevantes para sua organização e locatário. O nome escolhido para o novo locatário da Área de Trabalho Virtual do Azure deve ser globalmente exclusivo. Por exemplo, digamos que você seja o TenantCreator da Área de Trabalho Virtual do Azure para a organização da Contoso. O cmdlet que você executaria teria esta aparência:

New-RdsTenant -Name Contoso -AadTenantId 00000000-1111-2222-3333-444444444444 -AzureSubscriptionId 55555555-6666-7777-8888-999999999999

É uma boa ideia atribuir acesso administrativo a um segundo utilizador no caso de alguma vez se encontrar bloqueado da sua conta ou de sair de férias e precisar de alguém para agir como administrador do inquilino na sua ausência. Para atribuir acesso de administrador a um segundo usuário, execute o cmdlet a seguir e substituído pelo nome do locatário e <TenantName><Upn> pelo UPN do segundo usuário.

New-RdsRoleAssignment -TenantName <TenantName> -SignInName <Upn> -RoleDefinitionName "RDS Owner"

Próximos passos

Depois de criar seu locatário, você precisará criar uma entidade de serviço na ID do Microsoft Entra e atribuir-lhe uma função na Área de Trabalho Virtual do Azure. A entidade de serviço permitirá que você implante com êxito a oferta do Azure Virtual Desktop Azure Marketplace para criar um pool de hosts. Para saber mais sobre pools de hosts, continue para o tutorial para criar um pool de hosts na Área de Trabalho Virtual do Azure.

Criar principais de serviço e atribuições de funções com o PowerShell