Horizon Cloud Service on Microsoft Azure のデプロイの場合、サービスは API 呼び出しを使用してリソースを Microsoft Azure サブスクリプションにデプロイし、それらのリソースを管理します。Microsoft Azure サブスクリプションで API 呼び出しを使用する機能を Horizon Cloud に提供するには、Microsoft Entra ID にアプリケーション登録と呼ばれるサービス プリンシパルを作成します。
Horizon Cloud のために Microsoft Azure サブスクリプションのキャパシティにアクセスして使用するには、サービス プリンシパルを作成します。Microsoft Azure サブスクリプション ID、ディレクトリ ID、およびアプリケーション ID とキーは、Horizon Cloud で使用されます。
Horizon Cloud サービス プリンシパルには、サブスクリプションに割り当てられたロールが必要です。通常、Horizon Cloud はサブスクリプションに組み込みの Contributor ロールを使用します。
Contributor ロールを使用するのは、Horizon Cloud がサブスクリプション内で実行する必要があるすべての API 呼び出しをカバーするためです。ロールの割り当ては直接割り当てである必要があります。ロールのグループベースの割り当ての使用(ロールがグループに割り当てられ、サービス プリンシパルがそのグループのメンバーとなる)は、サポートされていません。
Contributor ロールの使用を避けたい場合は、
Horizon Cloud は代わりにカスタム ロールの使用をサポートします。使用する場合、カスタム ロールは、
Horizon Cloud が使用する必要がある特定の API 呼び出しを提供する必要があります。詳細については、
Horizon Cloud アプリケーション登録にカスタム ロールを使用するを参照してください。
権限は次のとおりです。
範囲:https://graph.microsoft.com/
権限:Device.ReadWrite.All Read and write devices
管理者の同意:Yes
権限を付与するには、次の場所に移動します。
次の手順では、Horizon Cloud 環境で使用する設定を示します。
手順
- ♦ サブスクリプションに最大 4 つのサービス プリンシパルとクライアント シークレットを構成します。
- クライアント シークレットの有効期間を、24 Months など適切な長さに設定します。
- 後で参照できるように、クライアント シークレットのコピーを保存します。
- 各サービス プリンシパルに適切なロールを割り当て、サービス プリンシパルがサブスクリプション内のリソースを管理できるようにします。
