Självstudie: Skapa tjänstens huvudnamn och rolltilldelningar med PowerShell i Azure Virtual Desktop (klassisk)

Tjänstens huvudnamn är identiteter som du kan skapa i Azure Active Directory tilldela roller och behörigheter för ett specifikt syfte. I Azure Virtual Desktop kan du skapa ett huvudnamn för tjänsten för att:

• Automatisera specifika hanteringsuppgifter för Azure Virtual Desktop.
• Använd som autentiseringsuppgifter i stället för MFA-nödvändiga användare när du kör Azure Resource Manager mall för Azure Virtual Desktop.

I den här självstudiekursen får du lära du dig att:

Förutsättningar

Innan du kan skapa tjänstens huvudnamn och rolltilldelningar måste du göra tre saker:

1. Installera AzureAD-modulen. Installera modulen genom att köra PowerShell som administratör och köra följande cmdlet:

   Install-Module AzureAD
   

2. Ladda ned och importera Azure Virtual Desktop PowerShell-modulen.

3. Följ alla instruktioner i den här artikeln i samma PowerShell-session. Processen kanske inte fungerar om du avbryter PowerShell-sessionen genom att stänga fönstret och öppna den igen senare.

Skapa ett huvudnamn för tjänsten i Azure Active Directory

När du har uppfyllt kraven i PowerShell-sessionen kör du följande PowerShell-cmdlets för att skapa ett tjänsthuvudnamn för flera olika i Azure.

Import-Module AzureAD
$aadContext = Connect-AzureAD
$svcPrincipal = New-AzureADApplication -AvailableToOtherTenants $true -DisplayName "Windows Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzureADApplicationPasswordCredential -ObjectId $svcPrincipal.ObjectId

Visa dina autentiseringsuppgifter i PowerShell

Innan du skapar rolltilldelningen för tjänstens huvudnamn ska du visa dina autentiseringsuppgifter och skriva ned dem för framtida bruk. Lösenordet är särskilt viktigt eftersom du inte kan hämta det när du har stäng PowerShell-sessionen.

Här är de tre autentiseringsuppgifter som du bör skriva ned och de cmdlets som du behöver köra för att hämta dem:

• Lösenord:

  $svcPrincipalCreds.Value
  

• Klientorganisations-ID:

  $aadContext.TenantId.Guid
  

• Program-ID:

  $svcPrincipal.AppId
  

Skapa en rolltilldelning i Azure Virtual Desktop

Därefter måste du skapa en rolltilldelning så att tjänstens huvudnamn kan logga in på Azure Virtual Desktop. Se till att logga in med ett konto som har behörighet att skapa rolltilldelningar.

Ladda först ned och importera Azure Virtual Desktop PowerShell-modulen för användning i PowerShell-sessionen om du inte redan har gjort det.

Kör följande PowerShell-cmdlets för att ansluta till Azure Virtual Desktop och visa dina klienter.

Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant

När du hittar klientnamnet för den klient som du vill skapa en rolltilldelning för använder du det namnet i följande cmdlet:

$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName

Logga in med tjänstens huvudnamn

När du har skapat en rolltilldelning för tjänstens huvudnamn kontrollerar du att tjänstens huvudnamn kan logga in på Azure Virtual Desktop genom att köra följande cmdlet:

$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.TenantId.Guid

När du har loggat in kontrollerar du att allt fungerar genom att testa några Azure Virtual Desktop PowerShell-cmdlets med tjänstens huvudnamn.

Nästa steg

När du har skapat tjänstens huvudnamn och tilldelat det en roll i din Azure Virtual Desktop-klientorganisation kan du använda det för att skapa en värdpool. Om du vill veta mer om värdpooler fortsätter du till självstudien om att skapa en värdpool i Azure Virtual Desktop.