對於 Horizon Cloud Service on Microsoft Azure 部署,該服務使用 API 呼叫將資源部署到 Microsoft Azure 訂閱及管理這些資源。若要讓 Horizon Cloud 能夠在 Microsoft Azure 訂閱中使用其 API 呼叫,請建立服務主體,這在 Microsoft Entra ID 中稱為應用程式登錄。

最多可為提供者建立四個唯一的服務主體。若總共要支援 5,000 個虛擬機器,請新增四個服務主體。多個服務主體會共用訂閱識別碼和目錄識別碼,但每個服務主體有其自己的應用程式識別碼。
重要: 對每個服務主體使用相同的角色。

您建立服務主體來為 Horizon Cloud 存取和使用 Microsoft Azure 訂閱容量。Horizon Cloud 中使用 Microsoft Azure 訂閱識別碼、目錄識別碼,以及應用程式識別碼和金鑰。

備註: 在 Microsoft Azure 入口網站中執行本節的工作。您可以在 Microsoft 說明文件 使用入口網站來建立可存取資源的 Azure AD 應用程式和服務主體中找到組態詳細資料。雖然 Microsoft 建議您對服務主體使用以憑證為基礎的驗證,但 VMware 要求對服務主體進行以金鑰/密碼為基礎的驗證。

Horizon Cloud 服務主體在訂閱中必須具有指派的角色。Horizon Cloud 通常在訂閱中使用內建的 Contributor 角色。

使用 Contributor 角色是因為此角色涵蓋 Horizon Cloud 必須在訂閱中執行的所有 API 呼叫。角色指派必須是直接指派。不支援以群組為基礎來指派角色,其中,角色指派給群組,而服務主體是該群組的成員。

如果您的組織傾向於避免在訂閱中使用 Contributor 角色,則 Horizon Cloud 支援改用自訂角色。如果使用自訂角色,該角色需提供 Horizon Cloud 所需使用的特定 API 呼叫。如需詳細資訊,請參閱 使用自訂角色來登錄 Horizon Cloud 應用程式
備註: 在刪除加入 Microsoft Entra ID 的集區或虛擬機器時,服務主體應具有從 Microsoft Entra ID 中刪除裝置項目的權限。

這些權限如下所示:

範圍:https://graph.microsoft.com/

權限:Device.ReadWrite.All Read and write devices

管理員同意:Yes

可導覽至以下位置來授與權限:

訂閱 > Azure Active Directory > 應用程式登錄 > 選取需要授與權限的應用程式 > API 權限 > 選取 Microsoft GRAPH > 選取 Device.ReadWriteAll

以下步驟提供要用於 Horizon Cloud 環境的設定:

程序

  • 最多為訂閱設定四個服務主體和用戶端密碼。
    1. 將用戶端密碼的到期期間設定為您偏好的時間長度,例如 24 Months
    2. 儲存用戶端密碼的複本供未來參考。
    3. 指派適當的角色給每個服務主體,以允許服務主體管理訂閱中的資源。

下一步

登錄所需的資源提供者。請參閱 確認已在 Microsoft Azure 訂閱中登錄所需的資源提供者