Para o Horizon Cloud Servce em implantações do Microsoft Azure, o serviço usa chamadas de API para implantar recursos em uma assinatura do Microsoft Azure e gerenciar esses recursos. Para fornecer a capacidade para que o Horizon Cloud use suas chamadas de API na assinatura do Microsoft Azure, você cria uma entidade de serviço, que é chamada de registro de aplicativo no Microsoft Entra ID.

Crie um máximo de quatro entidades de serviço exclusivas para um provedor. Para oferecer suporte a um total de 5.000 VMs, adicione quatro entidades de serviço. Quando você tem várias entidades de serviço, elas compartilham a ID da Assinatura e a ID do diretório, mas cada entidade de serviço tem sua própria ID de aplicativo.
Importante: Use a mesma função para cada entidade de serviço.

Você cria uma entidade de serviço para acessar e usar sua capacidade de assinatura do Microsoft Azure para Horizon Cloud. A ID de assinatura do Microsoft Azure, a ID do diretório e a chave do aplicativo são usados no Horizon Cloud.

Observação: Realize as tarefas nesta seção no portal do Microsoft Azure. Você pode encontrar os detalhes da configuração na documentação da Microsoft, Usar o portal para criar um aplicativo do Azure AD e uma entidade de serviço que possa acessar recursos. Embora a Microsoft recomende usar uma autenticação baseada em certificado para a entidade de serviço, a VMware requer autenticação baseada em chave/secreta para a entidade de serviço.

A entidade de serviço do Horizon Cloud deve ter uma função atribuída na assinatura. Normalmente, o Horizon Cloud usa a função interna Contributor com a assinatura.

A função Contributor é usada porque essa função abrange todas as chamadas de API que o Horizon Cloud deve realizar na assinatura. A atribuição de função deve ser uma atribuição direta. Não há suporte para o uso de uma atribuição baseada em grupo de uma função, na qual a função é atribuída a um grupo e a entidade de serviço é um membro desse grupo.

Se sua organização prefere evitar o uso da função Contributor na assinatura, o Horizon Cloud dá suporte ao uso de uma função personalizada. Se usada, a função personalizada precisa fornecer as chamadas de API específicas que o Horizon Cloud precisa usar. Para obter mais informações, consulte Para usar uma função personalizada para o registro de aplicativos do Horizon Cloud.
Observação: Ao excluir um pool ou uma VM do Microsoft Entra ID, a entidade de serviço deve ter permissões para excluir a entrada do dispositivo do Microsoft Entra ID.

As permissões são das seguintes:

Escopo: https://graph.microsoft.com/

Permissão: Device.ReadWrite.All Read and write devices

Consentimento do Administrador: Yes

A permissão pode ser dada navegando até o seguinte local:

Assinatura > Azure Active Directory > Registros de Aplicativos > Selecione o aplicativo ao qual a permissão precisa ser concedida > Permissão de API > Selecione Microsoft GRAPH > Selecione Device.ReadWriteAll

As etapas a seguir fornecem as configurações a serem usadas para o ambiente Horizon Cloud :

Procedimento

  • Configure até quatro entidades de serviço e segredos de cliente para a assinatura.
    1. Defina a duração da expiração do segredo do cliente para o comprimento de sua preferência, como 24 Months.
    2. Salve uma cópia do segredo do cliente para consulta futura.
    3. Atribua a função apropriada a cada entidade de serviço para permitir que a entidade de serviço gerencie recursos na assinatura.

O que Fazer Depois

Registre os provedores de recursos necessários. Consulte Confirmação de que os provedores de recursos necessários estão registrados em sua assinatura do Microsoft Azure.