Руководство. Создание арендатора в Виртуальном рабочем столе Azure (классическом)

  • Статья

Важно!

  • Это содержимое применимо к Виртуальному рабочему столу Azure (классическому), который не поддерживает объекты Azure Resource Manager для Виртуального рабочего стола Azure.

  • Начиная с 30 сентября 2023 г. вы больше не сможете создавать новые клиенты виртуального рабочего стола Azure (классического). Виртуальный рабочий стол Azure (классическая версия) завершится 30 сентября 2026 г. Перед этой датой необходимо перейти на виртуальный рабочий стол Azure. Дополнительные сведения см. в статье "Виртуальный рабочий стол Azure" (классическая версия).

Создание арендатора в Виртуальном рабочем столе Azure — это первый шаг к созданию собственного решения для виртуализации рабочих столов. Арендатор — это группа, состоящая из одного или нескольких пулов узлов. Каждый пул узлов состоит из нескольких узлов сеансов, запущенных как виртуальные машины в Azure и зарегистрированных в службе "Виртуальный рабочий стол Azure". Каждый пул узлов также состоит из одной или нескольких групп приложений, которые используются для публикации ресурсов настольных компьютеров и приложений пользователям. С помощью клиента можно создавать пулы узлов, создавать группы приложений, назначать пользователей и выполнять подключения через службу.

Из этого руководства вы узнаете, как:

  • Предоставьте microsoft Entra разрешения службе виртуального рабочего стола Azure.
  • Назначьте роль приложения TenantCreator пользователю в клиенте Microsoft Entra.
  • Создайте клиент Виртуального рабочего стола Azure.

Предварительные требования для настройки клиента

Прежде чем приступить к настройке клиента Виртуального рабочего стола Azure, убедитесь в наличии следующих компонентов:

  • Идентификатор клиента Microsoft Entra ID для пользователей виртуального рабочего стола Azure.
  • Учетная запись глобального администратора в клиенте Microsoft Entra.
    • Это также относится к организациям поставщик облачных решений (CSP), которые создают клиент Виртуального рабочего стола Azure для своих клиентов. Если вы находитесь в организации CSP, вы должны иметь возможность войти в качестве глобального администратора экземпляра Microsoft Entra клиента.
    • Учетная запись администратора должна быть создана из клиента Microsoft Entra, в котором вы пытаетесь создать клиент Виртуального рабочего стола Azure. Этот процесс не поддерживает учетные записи Microsoft Entra B2B (гостевой).
    • Учетная запись администратора должна быть рабочей или учебной учетной записью.
  • Подписка Azure.

Для надлежащего функционирования описанного в этом учебнике процесса необходим идентификатор клиента, учетная запись глобального администратора и подписка Azure.

Предоставление разрешений Виртуальному рабочему столу Azure

Если вы уже предоставили разрешения виртуальному рабочему столу Azure для этого экземпляра Microsoft Entra, пропустите этот раздел.

Предоставление разрешений службе виртуального рабочего стола Azure позволяет запрашивать идентификатор Microsoft Entra для административных и конечных пользователей задач.

Чтобы предоставить разрешения для службы, выполните следующие действия:

  1. Откройте браузер и начните процесс предоставления согласия администратора для серверного приложения Виртуального рабочего стола Azure.

    Примечание.

    Если вы управляете клиентом и должны предоставить согласие администратора для каталога клиента, введите следующий URL-адрес в браузер и замените {tenant} доменом Microsoft Entra клиента. Например, если организация клиента зарегистрировала доменное имя Microsoft Entra contoso.onmicrosoft.com, замените {tenant} contoso.onmicrosoft.com.

    https://login.microsoftonline.com/{tenant}/adminconsent?client_id=5a0aa725-4958-4b0c-80a9-34562e23f3b7&redirect_uri=https%3A%2F%2Frdweb.wvd.microsoft.com%2FRDWeb%2FConsentCallback

  2. Войдите на страницу предоставления согласия для Виртуального рабочего стола Azure с учетной записью глобального администратора. Например, для организации Contoso учетная запись администратора может быть такой: admin@contoso.com или admin@contoso.onmicrosoft.com.

  3. Выберите Принять.

  4. Подождите одну минуту, чтобы идентификатор Microsoft Entra может записать согласие.

  5. Откройте браузер и начните процесс предоставления согласия администратора для клиентского приложения Виртуального рабочего стола Azure.

    Примечание.

    Если вы управляете клиентом и должны предоставить согласие администратора для каталога клиента, введите следующий URL-адрес в браузер и замените {tenant} доменом Microsoft Entra клиента. Например, если организация клиента зарегистрировала доменное имя Microsoft Entra contoso.onmicrosoft.com, замените {tenant} contoso.onmicrosoft.com.

    https://login.microsoftonline.com/{tenant}/adminconsent?client_id=fa4345a4-a730-4230-84a8-7d9651b86739&redirect_uri=https%3A%2F%2Frdweb.wvd.microsoft.com%2FRDWeb%2FConsentCallback

  6. Войдите на страницу предоставления согласия для Виртуального рабочего стола Azure с учетными данными глобального администратора, как на шаге 2.

  7. Выберите Принять.

Назначение роли приложению для TenantCreator

Назначение пользователю Microsoft Entra роли приложения TenantCreator позволяет пользователю создать клиент Виртуального рабочего стола Azure, связанный с экземпляром Microsoft Entra. Чтобы назначить роль TenantCreator, нужна учетная запись глобального администратора.

Чтобы назначить роль приложения для TenantCreator:

  1. Перейдите на портал Azure, чтобы управлять ролью приложения TenantCreator. Найдите и выберите Корпоративные приложения. Если вы работаете с несколькими клиентами Microsoft Entra, рекомендуется открыть частный сеанс браузера и скопировать и вставить URL-адреса в адресную строку.

    Screenshot of searching for Enterprise applications in the Azure portal

  2. В разделе Корпоративные приложения найдите Azure Virtual Desktop (Виртуальный рабочий стол Azure). Отобразятся два приложения, для которых вы предоставили согласие на предыдущем этапе. Из этих двух приложений выберите Azure Virtual Desktop (Виртуальный рабочий стол Azure).

  3. Выберите Пользователи и группы Вы можете заметить, что администратор, которому предоставлено согласие для приложения, уже присутствует в списке с назначенной рольюДоступ по умолчанию. Это недостаточно для создания клиента Виртуального рабочего стола Azure. Далее назначьте пользователю роль TenantCreator, выполнив указания ниже.

  4. Выберите Добавить пользователя, а на вкладке Добавление назначения щелкните Пользователи и группы.

  5. Найдите учетную запись пользователя, который будет создавать арендатор Виртуального рабочего стола Azure. Для упрощения можно использовать учетную запись глобального администратора.

    • Если вы используете поставщик удостоверений Майкрософт, например contosoadmin@live.com или contosoadmin@outlook.com, может оказаться, что вы не сможете войти в Виртуальный рабочий стол Azure. Рекомендуется использовать учетную запись с указанием определенного домена, например admin@contoso.com или admin@contoso.onmicrosoft.com.

    A screenshot of selecting a user to add as

    Примечание.

    Необходимо выбрать пользователя (или группу, содержащую пользователя), которая была получена из этого экземпляра Microsoft Entra. Невозможно выбрать гостевого пользователя (B2B) или субъект-службу.

  6. Выберите учетную запись пользователя, нажмите Выбрать, а затем щелкните Назначить.

  7. На странице Azure Virtual Desktop - Users and groups (Виртуальный рабочий стол Azure — пользователи и группы) убедитесь, что вы видите новую запись с ролью TenantCreator, назначенной пользователю, который создаст арендатор Виртуального рабочего стола Azure.

Чтобы продолжить создание арендатора Виртуального рабочего стола Azure, вам потребуются два значения:

  • Идентификатор клиента Microsoft Entra (или идентификатор каталога)
  • идентификатор подписки Azure;

Чтобы найти идентификатор клиента Microsoft Entra (или идентификатор каталога):

  1. В том же сеансе портал Azure найдите и выберите идентификатор Microsoft Entra.

    A screenshot of the search results for

  2. Прокрутите вниз, пока не найдете раздел Свойства, а затем выберите его.

  3. Найдите Идентификатор каталога, а затем щелкните значок буфера обмена. Вставьте его в удобное расположение, чтобы можно было использовать его позже как значение AadTenantId.

    A screenshot of the Microsoft Entra properties. The mouse is hovering over the clipboard icon for

Поиск идентификатора подписки Azure:

  1. В том же сеансе портала Azure найдите и выберите Подписки.

    A screenshot of the search results for

  2. Выберите подписку Azure, которую вы хотите использовать для получения уведомлений от службы "Виртуальный рабочий стол Azure".

  3. Найдите Идентификатор подписки, а затем наведите указатель мыши над значением пока не появится значок буфера обмена. Выберите значок буфера обмена и вставьте его в удобное расположение, чтобы его можно было использовать позже как значение AzureSubscriptionId.

    A screenshot of the Azure subscription properties. The mouse is hovering over the clipboard icon for

Создание клиента Виртуального рабочего стола Azure

Теперь, когда вы предоставили службе виртуального рабочего стола Azure разрешения на запрос идентификатора Microsoft Entra и назначили роль TenantCreator учетной записи пользователя, вы можете создать клиент Виртуального рабочего стола Azure.

Сначала при необходимости скачайте и импортируйте модуль для Виртуального рабочего стола Azure для использования в сеансе PowerShell.

Войдите в Виртуальный рабочий стол Azure, используя учетные данные пользователя с ролью TenantCreator со следующим командлетом:

Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"

После этого создайте новый клиент Виртуального рабочего стола Azure, связанный с клиентом Microsoft Entra:

New-RdsTenant -Name <TenantName> -AadTenantId <DirectoryID> -AzureSubscriptionId <SubscriptionID>

Замените значения в угловых скобках соответствующими значениями для своей организации и арендатора. Имя, выбранное для нового арендатора Виртуального рабочего стола Azure, должно быть глобально уникальным. Предположим, что вы — пользователь с ролью TenantCreator Виртуального рабочего стола Azure в организации Contoso. Выполняемый командлет будет выглядеть так:

New-RdsTenant -Name Contoso -AadTenantId 00000000-1111-2222-3333-444444444444 -AzureSubscriptionId 55555555-6666-7777-8888-999999999999

Рекомендуем назначить административный доступ второму пользователю на случай, если ваша учетная запись будет заблокирована или если вам понадобится администратор клиента на время вашего пребывания в отпуске. Чтобы назначить административный доступ второму пользователю, выполните приведенный ниже командлет, заменив <TenantName> и <Upn> своим именем клиента и именем субъекта-пользователя второго пользователя.

New-RdsRoleAssignment -TenantName <TenantName> -SignInName <Upn> -RoleDefinitionName "RDS Owner"

Следующие шаги

После создания клиента необходимо создать субъект-службу в идентификаторе Microsoft Entra и назначить ей роль в виртуальном рабочем столе Azure. Субъект-служба позволит успешно развернуть предложение Виртуального рабочего стола Azure из Azure Marketplace, чтобы создать пул узлов. Дополнительные сведения см. в руководстве по созданию пула узлов в Виртуальном рабочем столе Azure.

Создание субъектов-служб и назначений ролей с помощью PowerShell