Microsoft Azure 구독에 대한 서비스 주체 생성

Microsoft Azure 배포에 있는 Horizon Cloud Service의 경우 API 호출을 사용하여 리소스를 Microsoft Azure 구독에 배포하고 이러한 리소스를 관리합니다. Horizon Cloud가 Microsoft Azure 구독에서 해당 API 호출을 사용하는 기능을 제공하려면 Microsoft Entra ID에서 애플리케이션 등록이라고 하는 서비스 주체를 생성합니다.

제공자에 대해 최대 4개의 고유한 서비스 주체를 생성합니다. 총 5,000개의 VM을 지원하려면 4개의 서비스 주체를 추가합니다. 여러 서비스 주체가 있는 경우 구독 ID 및 디렉토리 ID를 공유하지만, 서비스 주체마다 고유한 애플리케이션 ID가 있습니다.

중요: 각 서비스 주체에 대해 동일한 역할을 사용합니다.

Horizon Cloud에 대한 Microsoft Azure 구독의 용량에 액세스하고 이를 사용하기 위한 서비스 주체를 생성합니다. Microsoft Azure 구독 ID, 디렉토리 ID 및 애플리케이션 ID와 키는 Horizon Cloud에서 사용됩니다.

참고: Microsoft Azure Portal에서 이 섹션의 작업을 수행합니다. Microsoft 설명서 포털을 사용하여 리소스에 액세스할 수 있는 Azure AD 애플리케이션 및 서비스 주체 생성에서 구성 세부 정보를 찾을 수 있습니다. Microsoft는 서비스 주체에 대해 인증서 기반 인증을 사용하여 주석 처리를 수행하지만 VMware는 서비스 주체에 대한 키/암호 기반 인증을 요구합니다.

구독에 Horizon Cloud 서비스 주체에 할당된 역할이 있어야 합니다. 일반적으로 Horizon Cloud는 구독과 함께 기본 제공 Contributor 역할을 사용합니다.

Contributor 역할은 Horizon Cloud 구독 내에서 수행해야 하는 모든 API 호출을 포함하기 때문에 사용됩니다. 역할 할당은 직접 할당이어야 합니다. 역할이 그룹에 할당되고 서비스 주체가 해당 그룹의 멤버인 역할의 그룹 기반 할당을 사용하는 것은 현재 지원되지 않습니다.

조직이 구독에서 Contributor 역할을 사용하지 않으려는 경우 Horizon Cloud는 대신 사용자 지정 역할을 사용하도록 지원합니다. 사용되는 경우 사용자 지정 역할은 Horizon Cloud가 사용해야 하는 특정 API 호출을 제공해야 합니다. 자세한 내용은 Horizon Cloud 애플리케이션 등록에 사용자 지정 역할을 사용하려면 항목을 참조하십시오.

참고: Microsoft Entra ID 가입 풀 또는 VM을 삭제하는 경우 서비스 주체에게 Microsoft Entra ID에서 디바이스 항목을 삭제할 수 있는 사용 권한이 있어야 합니다.

사용 권한은 다음과 같습니다.

범위: https://graph.microsoft.com/

사용 권한: Device.ReadWrite.All Read and write devices

관리자 동의: Yes

다음 위치로 이동하여 사용 권한을 부여할 수 있습니다.

구독 > Azure Active Directory > 애플리케이션 등록 > 사용 권한을 부여해야 하는 애플리케이션 선택 > API 사용 권한 > Microsoft GRAPH 선택 > Device.ReadWriteAll 선택

다음 단계에서는 Horizon Cloud 환경에 사용할 설정을 제공합니다.

프로시저

♦ 구독에 대해 최대 4개의 서비스 주체 및 클라이언트 암호를 구성합니다.
1. 원하는 클라이언트 암호 만료 기간(예: 24 Months)을 설정합니다.
2. 나중에 참조할 수 있도록 클라이언트 암호의 복사본을 저장합니다.
3. 각 서비스 주체에게 적절한 역할을 할당하여 서비스 주체가 구독의 리소스를 관리하도록 허용합니다.

다음에 수행할 작업

필요한 리소스 제공자를 등록합니다. 필수 리소스 제공자가 Microsoft Azure 구독에 등록되어 있는지 확인 항목을 참조하십시오.