Bei der Horizon Cloud Service on Microsoft Azure-Bereitstellung verwendet der Dienst API-Aufrufe zur Bereitstellung von Ressourcen in einem Microsoft Azure-Abonnement und zur Verwaltung dieser Ressourcen. Um Horizon Cloud die Verwendung seiner API-Aufrufe im Microsoft Azure-Abonnement zu ermöglichen, erstellen Sie einen Dienstprinzipal, der in Microsoft Entra ID als App-Registrierung bezeichnet wird.

Erstellen Sie maximal vier eindeutige Dienstprinzipale für einen Anbieter. Um insgesamt 5.000 VMs zu unterstützen, fügen Sie vier Dienstprinzipale hinzu. Wenn Sie über mehrere Dienstprinzipale verfügen, teilen diese die Abonnement-ID und die Verzeichnis-ID, aber jeder Dienstprinzipal verfügt über eine eigene Anwendungs-ID.
Wichtig: Verwenden Sie dieselbe Rolle für jeden Dienstprinzipal.

Sie erstellen einen Dienstprinzipal, um auf die Kapazität Ihres Microsoft Azure-Abonnements für Horizon Cloud zuzugreifen und diese zu nutzen. Die Microsoft Azure-Abonnement-ID, die Verzeichnis-ID sowie die Anwendungs-ID und der Schlüssel werden in Horizon Cloud verwendet.

Hinweis: Führen Sie die Aufgaben in diesem Abschnitt im Microsoft Azure-Portal aus. Die Konfigurationsdetails finden Sie in der Microsoft-Dokumentation: Erstellen einer Azure AD-Anwendung und eines Dienstprinzipals mit Ressourcenzugriff über das Portal. Während Microsoft die Verwendung einer zertifikatsbasierten Authentifizierung für den Dienstprinzipal empfiehlt, verlangt VMware eine schlüssel-/geheimnisbasierte Authentifizierung für den Dienstprinzipal.

Der Horizon Cloud-Dienstprinzipal muss über eine zugewiesene Rolle im Abonnement verfügen. In der Regel verwendet Horizon Cloud die integrierte Contributor-Rolle mit dem Abonnement.

Die Contributor-Rolle wird verwendet, da diese Rolle alle API-Aufrufe abdeckt, die Horizon Cloud innerhalb des Abonnements ausführen muss. Die Rollenzuweisung muss eine direkte Zuweisung sein. Die Verwendung einer gruppenbasierten Zuweisung einer Rolle, bei der die Rolle einer Gruppe zugewiesen wird und der Dienstprinzipal ein Mitglied dieser Gruppe ist, wird nicht unterstützt.

Wenn Ihre Organisation die Verwendung der Contributor-Rolle im Abonnement vermeiden möchte, unterstützt Horizon Cloud stattdessen die Verwendung einer benutzerdefinierten Rolle. Bei Verwendung der benutzerdefinierten Rolle müssen die spezifischen API-Aufrufe, die Horizon Cloud verwenden muss, bereitgestellt werden. Weitere Informationen finden Sie unter Verwenden einer benutzerdefinierten Rolle für die Horizon Cloud App-Registrierung.
Hinweis: Beim Löschen eines Microsoft Entra ID-verbundenen Pools oder einer VM sollte der Dienstprinzipal über die Berechtigung verfügen, den Geräteeintrag aus Microsoft Entra ID zu löschen.

Die Berechtigungen lauten wie folgt:

Bereich: https://graph.microsoft.com/

Berechtigung: Device.ReadWrite.All Read and write devices

Administratorzustimmung: Yes

Die Berechtigung kann erteilt werden, indem Sie zum folgenden Speicherort navigieren:

Abonnement > Azure Active Directory > App-Registrierungen > Wählen Sie die App aus, für die eine Berechtigung erteilt werden soll > API-Berechtigung > Microsoft GRAPH auswählen > Device.ReadWriteAll auswählen

Die folgenden Schritte enthalten die Einstellungen, die Sie für Ihre Horizon Cloud-Umgebung verwenden müssen:

Prozedur

  • Konfigurieren Sie bis zu vier Dienstprinzipale und geheime Clientschlüssel für das Abonnement.
    1. Legen Sie die Ablaufdauer des geheimen Clientschlüssels auf die von Ihnen bevorzugte Länge fest, z. B. 24 Months.
    2. Speichern Sie eine Kopie des geheimen Clientschlüssels zur späteren Verwendung.
    3. Weisen Sie jedem Dienstprinzipal die entsprechende Rolle zu, damit der Dienstprinzipal Ressourcen im Abonnement verwalten kann.

Nächste Maßnahme

Registrieren Sie die erforderlichen Ressourcenanbieter. Siehe Überprüfen, ob die erforderlichen Ressourcenanbieter in Ihrem Microsoft Azure-Abonnement registriert sind.