Tutorial: Criar entidades de serviço e atribuições de função com o PowerShell na Área de Trabalho Virtual do Azure (clássico)

Importante

Este conteúdo aplica-se ao Ambiente de Trabalho Virtual do Azure (clássico), que não suporta objetos do Azure Resource Manager do Ambiente de Trabalho Virtual do Azure.

Entidades de serviço são identidades que você pode criar no Microsoft Entra ID para atribuir funções e permissões para uma finalidade específica. Na Área de Trabalho Virtual do Azure, você pode criar uma entidade de serviço para:

  • Automatize tarefas específicas de gerenciamento da Área de Trabalho Virtual do Azure.
  • Use como credenciais no lugar de usuários necessários para MFA ao executar qualquer modelo do Azure Resource Manager para a Área de Trabalho Virtual do Azure.

Neste tutorial, saiba como:

  • Crie uma entidade de serviço no Microsoft Entra ID.
  • Crie uma atribuição de função na Área de Trabalho Virtual do Azure.
  • Entre na Área de Trabalho Virtual do Azure usando a entidade de serviço.

Pré-requisitos

Antes de criar entidades de serviço e atribuições de função, você precisa fazer o seguinte:

  1. Siga as etapas para Instalar o módulo Azure Az PowerShell.

  2. Baixe e importe o módulo PowerShell da Área de Trabalho Virtual do Azure.

Importante

Siga todas as instruções neste artigo na mesma sessão do PowerShell. O processo pode não funcionar se você interromper sua sessão do PowerShell fechando a janela e reabrindo-a mais tarde.

Criar uma entidade de serviço no Microsoft Entra ID

Depois de cumprir os pré-requisitos em sua sessão do PowerShell, execute os seguintes cmdlets do PowerShell para criar uma entidade de serviço multilocatária no Azure.

Import-Module Az.Resources
Connect-AzConnect
$aadContext = Get-AzContext
$svcPrincipal = New-AzADApplication -AvailableToOtherTenants $true -DisplayName "Azure Virtual Desktop Svc Principal"
$svcPrincipalCreds = New-AzADAppCredential -ObjectId $svcPrincipal.Id

Exibir suas credenciais no PowerShell

Antes de criar a atribuição de função para sua entidade de serviço, exiba suas credenciais e escreva-as para referência futura. A senha é especialmente importante porque você não poderá recuperá-la depois de fechar esta sessão do PowerShell.

Aqui estão os três valores que você deve anotar e os cmdlets que você precisa executar para obtê-los:

  • Palavra-passe:

    $svcPrincipalCreds.SecretText
    
  • ID do Inquilino:

    $aadContext.Tenant.Id
    
  • ID do aplicativo:

    $svcPrincipal.AppId
    

Criar uma atribuição de função na Área de Trabalho Virtual do Azure

Em seguida, você precisa criar uma atribuição de função para que a entidade de serviço possa entrar na Área de Trabalho Virtual do Azure. Certifique-se de entrar com uma conta que tenha permissões para criar atribuições de função.

Primeiro, baixe e importe o módulo PowerShell da Área de Trabalho Virtual do Azure para usar em sua sessão do PowerShell, caso ainda não o tenha feito.

Execute os seguintes cmdlets do PowerShell para se conectar à Área de Trabalho Virtual do Azure e exibir seus locatários.

Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com"
Get-RdsTenant

Quando encontrar o nome do locatário para o qual deseja criar uma atribuição de função, use esse nome no cmdlet a seguir:

$myTenantName = "<Azure Virtual Desktop Tenant Name>"
New-RdsRoleAssignment -RoleDefinitionName "RDS Owner" -ApplicationId $svcPrincipal.AppId -TenantName $myTenantName

Iniciar sessão com a entidade de serviço

Depois de criar uma atribuição de função para a entidade de serviço, verifique se a entidade de serviço pode entrar na Área de Trabalho Virtual do Azure executando o seguinte cmdlet:

$creds = New-Object System.Management.Automation.PSCredential($svcPrincipal.AppId, (ConvertTo-SecureString $svcPrincipalCreds.Value -AsPlainText -Force))
Add-RdsAccount -DeploymentUrl "https://rdbroker.wvd.microsoft.com" -Credential $creds -ServicePrincipal -AadTenantId $aadContext.Tenant.Id

Se conseguir iniciar sessão com êxito, a entidade de serviço está configurada corretamente.

Próximos passos

Depois de criar a entidade de serviço e atribuir-lhe uma função no seu inquilino do Ambiente de Trabalho Virtual do Azure, pode utilizá-la para criar um conjunto de anfitriões. Para saber mais sobre pools de hosts, continue para o tutorial para criar um pool de hosts na Área de Trabalho Virtual do Azure.