對於 Horizon Cloud Service on Microsoft Azure 部署,該服務使用 API 呼叫將資源部署到 Microsoft Azure 訂閱及管理這些資源。若要讓 Horizon Cloud 能夠在 Microsoft Azure 訂閱中使用其 API 呼叫,請建立服務主體,這在 Microsoft Entra ID 中稱為應用程式登錄。
最多可為提供者建立四個唯一的服務主體。若總共要支援 5,000 個虛擬機器,請新增四個服務主體。多個服務主體會共用訂閱識別碼和目錄識別碼,但每個服務主體有其自己的應用程式識別碼。
重要: 對每個服務主體使用相同的角色。
您建立服務主體來為 Horizon Cloud 存取和使用 Microsoft Azure 訂閱容量。Horizon Cloud 中使用 Microsoft Azure 訂閱識別碼、目錄識別碼,以及應用程式識別碼和金鑰。
備註: 在 Microsoft Azure 入口網站中執行本節的工作。您可以在 Microsoft 說明文件
使用入口網站來建立可存取資源的 Azure AD 應用程式和服務主體中找到組態詳細資料。雖然 Microsoft 建議您對服務主體使用以憑證為基礎的驗證,但 VMware 要求對服務主體進行以金鑰/密碼為基礎的驗證。
Horizon Cloud 服務主體在訂閱中必須具有指派的角色。Horizon Cloud 通常在訂閱中使用內建的 Contributor 角色。
使用 Contributor 角色是因為此角色涵蓋 Horizon Cloud 必須在訂閱中執行的所有 API 呼叫。角色指派必須是直接指派。不支援以群組為基礎來指派角色,其中,角色指派給群組,而服務主體是該群組的成員。
如果您的組織傾向於避免在訂閱中使用
Contributor 角色,則
Horizon Cloud 支援改用自訂角色。如果使用自訂角色,該角色需提供
Horizon Cloud 所需使用的特定 API 呼叫。如需詳細資訊,請參閱
使用自訂角色來登錄 Horizon Cloud 應用程式。
備註: 在刪除加入 Microsoft Entra ID 的集區或虛擬機器時,服務主體應具有從 Microsoft Entra ID 中刪除裝置項目的權限。
這些權限如下所示:
範圍:https://graph.microsoft.com/
權限:Device.ReadWrite.All Read and write devices
管理員同意:Yes
可導覽至以下位置來授與權限:
以下步驟提供要用於 Horizon Cloud 環境的設定:
程序
- ♦ 最多為訂閱設定四個服務主體和用戶端密碼。
- 將用戶端密碼的到期期間設定為您偏好的時間長度,例如 24 Months。
- 儲存用戶端密碼的複本供未來參考。
- 指派適當的角色給每個服務主體,以允許服務主體管理訂閱中的資源。
