Bei der Horizon Cloud Service on Microsoft Azure-Bereitstellung verwendet der Dienst API-Aufrufe zur Bereitstellung von Ressourcen in einem Microsoft Azure-Abonnement und zur Verwaltung dieser Ressourcen. Um Horizon Cloud die Verwendung seiner API-Aufrufe im Microsoft Azure-Abonnement zu ermöglichen, erstellen Sie einen Dienstprinzipal, der in Microsoft Entra ID als App-Registrierung bezeichnet wird.
Sie erstellen einen Dienstprinzipal, um auf die Kapazität Ihres Microsoft Azure-Abonnements für Horizon Cloud zuzugreifen und diese zu nutzen. Die Microsoft Azure-Abonnement-ID, die Verzeichnis-ID sowie die Anwendungs-ID und der Schlüssel werden in Horizon Cloud verwendet.
Der Horizon Cloud-Dienstprinzipal muss über eine zugewiesene Rolle im Abonnement verfügen. In der Regel verwendet Horizon Cloud die integrierte Contributor
-Rolle mit dem Abonnement.
Die Contributor
-Rolle wird verwendet, da diese Rolle alle API-Aufrufe abdeckt, die Horizon Cloud innerhalb des Abonnements ausführen muss. Die Rollenzuweisung muss eine direkte Zuweisung sein. Die Verwendung einer gruppenbasierten Zuweisung einer Rolle, bei der die Rolle einer Gruppe zugewiesen wird und der Dienstprinzipal ein Mitglied dieser Gruppe ist, wird nicht unterstützt.
Contributor
-Rolle im Abonnement vermeiden möchte, unterstützt
Horizon Cloud stattdessen die Verwendung einer benutzerdefinierten Rolle. Bei Verwendung der benutzerdefinierten Rolle müssen die spezifischen API-Aufrufe, die
Horizon Cloud verwenden muss, bereitgestellt werden. Weitere Informationen finden Sie unter
Verwenden einer benutzerdefinierten Rolle für die Horizon Cloud App-Registrierung.
Die Berechtigungen lauten wie folgt:
Bereich: https://graph.microsoft.com/
Berechtigung: Device.ReadWrite.All Read and write devices
Administratorzustimmung: Yes
Die Berechtigung kann erteilt werden, indem Sie zum folgenden Speicherort navigieren:
Die folgenden Schritte enthalten die Einstellungen, die Sie für Ihre Horizon Cloud-Umgebung verwenden müssen:
Prozedur
- ♦ Konfigurieren Sie bis zu vier Dienstprinzipale und geheime Clientschlüssel für das Abonnement.
- Legen Sie die Ablaufdauer des geheimen Clientschlüssels auf die von Ihnen bevorzugte Länge fest, z. B. 24 Months.
- Speichern Sie eine Kopie des geheimen Clientschlüssels zur späteren Verwendung.
- Weisen Sie jedem Dienstprinzipal die entsprechende Rolle zu, damit der Dienstprinzipal Ressourcen im Abonnement verwalten kann.