连接到Microsoft Azure
创建和管理连接描述创建连接的向导。以下信息涵盖特定于Azure Resource Manager云环境的详细信息。
注意:
在创建到Microsoft Azure的连接之前,您需要首先完成将Azure帐户设置为资源位置的操作。看到微软Azure资源管理器云环境。
连接到Azure资源管理器
注意事项:
- Citrix建议使用服务主体和贡献者角色。然而,看到最低权限节以获取最小权限列表。
- 在创建第一个连接时,Azure会提示您授予它必要的权限。对于未来的连接,您仍然必须进行身份验证,但Azure会记住您之前的同意,并且不会再次显示提示。
- 用于身份验证的帐户必须是订阅的共同管理员。
- 用于身份验证的帐户必须是订阅目录的成员。有两种类型的账户需要注意:“工作或学校”和“个人微软账户”。“看到CTX219211获取详细信息。
虽然可以通过将现有Microsoft帐户添加为订阅目录的成员来使用它,但是如果用户以前被授予对目录资源之一的访客访问权限,则可能会出现复杂情况。在这种情况下,它们可能在目录中有一个占位符条目,没有授予它们必要的权限,并且返回一个错误。
通过从目录中删除资源并显式地将它们添加回来来纠正这个问题。但是,请谨慎使用此选项,因为它会对帐户可以访问的其他资源产生意想不到的影响。
- 有一个已知的问题,某些帐户被检测为目录来宾,而它们实际上是成员。这样的配置通常发生在较旧的已建立目录帐户中。解决方法:向目录添加一个帐户,该帐户采用适当的成员值。
- 资源组只是资源的容器,它们可以包含来自其他地区的资源。如果您希望在资源组的区域中显示可用的资源,这可能会造成混淆。
- 确保您的网络和子网足够大,可以承载所需的机器数量。这需要一些先见之明,但是Microsoft会帮助您指定正确的值,并提供有关地址空间容量的指导。
您可以通过两种方式建立到Azure的主机连接:
- 向Azure进行身份验证以创建服务主体。
- 使用先前创建的服务主体中的详细信息连接到Azure。
创建服务主体
重要的是:
此功能还不能用于Azure中国和Azure德国的订阅。
开始之前,向Azure进行身份验证。确保:
- 在订阅的Azure Active Directory租户中有一个用户帐户。
- Azure AD用户帐户也是要用于配置资源的Azure订阅的共同管理员。
- 您具有全局管理员、应用程序管理员或应用程序开发人员权限。创建主机连接后,可以撤销该权限。有关角色的更多信息,请参见Azure AD内置角色。
当您向Azure进行身份验证以创建服务主体时,应用程序将在Azure中注册。为注册的应用程序创建一个密钥(客户端密钥)。注册的应用程序使用客户端密钥对Azure AD进行身份验证。请确保在客户端秘密过期之前更改它。在密钥到期之前,您将在控制台上收到警报。看到申请秘密和秘密截止日期。
要向Azure进行身份验证以创建服务主体,请完成中的以下步骤添加连接和资源向导:
在连接页面,选择创建一个新连接,微软Azure连接类型和Azure环境。
选择要用于创建虚拟机的工具,然后选择下一个。
在连接细节页,输入您的Azure订阅ID和连接的名称。输入订阅ID后创建新的按钮已启用。
注意:
连接名长度范围为1 ~ 64个字符,且不能只包含空格和字符
\/;:#.*?=<>|[]{}"'()'。选择创建新的然后输入Azure Active Directory帐户用户名和密码。
选择登录。
选择接受赋予思杰虚拟应用程序和桌面所列的权限。Citrix虚拟应用程序和桌面创建了一个服务主体,允许它代表指定用户管理Azure资源。
选择之后接受,你回到了连接页。
注意:
在成功验证到Azure之后创建新的和使用现有的按钮消失。的连接成功文本出现,并带有绿色复选标记,表明已成功连接到Azure订阅。
在连接细节页面,选择下一个。
注意:
在成功通过Azure身份验证并同意提供所需权限之前,您无法进入下一页。
为连接配置资源。资源包括区域和网络。
- 在地区页,选择一个区域。
- 在网络页,做以下工作:
- 键入1-64个字符的资源名,以帮助识别区域和网络组合。资源名称不能只包含空格或字符
\/;:#.*?=<>|[]{}"'()'。 - 选择虚拟网络/资源组对。(如果有多个具有相同名称的虚拟网络,则将网络名称与资源组配对可以提供唯一的组合。)如果上一页选择的区域没有虚拟网络,请返回上一页选择有虚拟网络的区域。
- 键入1-64个字符的资源名,以帮助识别区域和网络组合。资源名称不能只包含空格或字符
在总结页,查看设置摘要并选择完成来完成您的设置。
使用先前创建的服务主体中的详细信息连接到Azure
要手动创建服务主体,请连接到Azure资源管理器订阅,并使用以下部分中提供的PowerShell cmdlet。
先决条件:
- SubscriptionId:Azure资源管理器
SubscriptionID用于要在其中配置vda的订阅。 - ActiveDirectoryID:您在Azure AD上注册的应用程序的租户ID。
- ApplicationName:要在Azure AD中创建的应用程序的名称。
要创建服务主体:
连接到Azure资源管理器订阅。
Connect-AzAccount选择要在其中创建服务主体的Azure资源管理器订阅。
$subscriptionId | Select-AzSubscription在AD租户中创建应用程序。
$AzureADApplication = New-AzADApplication -DisplayName $ApplicationName创建服务主体。
New-AzADServicePrincipal -ApplicationId $AzureADApplication。AppId为服务主体分配一个角色。
New-AzRoleAssignment -RoleDefinitionName Contributor -ServicePrincipalName $AzureADApplicationAppId -scope /subscriptions/$SubscriptionId在PowerShell控制台的输出窗口中,注意ApplicationId。您在创建主机连接时提供该ID。
在添加连接和资源向导:
在连接页面,选择创建一个新连接,微软Azure连接类型和Azure环境。
选择要用于创建虚拟机的工具,然后选择下一个。
在连接细节页,输入您的Azure订阅ID和连接的名称。
注意:
连接名长度范围为1 ~ 64个字符,且不能只包含空格和字符
\/;:#.*?=<>|[]{}"'()'。选择使用现有的。在现有服务主体详情窗口中,为现有服务主体输入以下设置。输入详细信息后保存按钮已启用。选择保存。在提供有效的详细信息之前,您无法继续前进。
- 订阅ID。输入您的Azure订阅ID。要获取订阅ID,请登录到Azure门户并导航到订阅>概述。
- 活动目录ID(租户ID)。输入在Azure AD中注册的应用程序的目录(租户)ID。
- 应用程序ID。输入在Azure AD中注册的应用程序的应用程序(客户端)ID。
- 应用程序的秘密。创建一个密钥(客户端密钥)。注册的应用程序使用密钥对Azure AD进行身份验证。为了安全起见,我们建议您定期更换密钥。请务必保存密钥,因为以后无法检索密钥。看到申请秘密和秘密截止日期。
秘密截止日期。输入应用程序密钥过期的日期。在密钥到期之前,您将在控制台上收到警报。但是,如果密钥过期,您将收到错误。
注意:
出于安全考虑,有效期不能超过2年。
- 身份验证URL。该字段是自动填充的,不可编辑。
- 管理URL。该字段是自动填充的,不可编辑。
存储后缀。该字段是自动填充的,不可编辑。
在Azure中创建MCS目录需要访问以下端点。对这些端点的访问可优化网络与Azure门户及其服务之间的连接。
- 身份验证网址:https://login.microsoftonline.com/
- 经营地址:https://management.azure.com/。这是Azure资源管理器提供程序api的请求URL。用于管理的端点取决于环境。例如,对于Azure Global,它是https://management.azure.com/对于Azure美国政府来说,它是https://management.usgovcloudapi.net/。
- 存储后缀:https:// * .core.windows.net. /。这个(*)是存储后缀的通配符。例如,https://demo.table.core.windows.net/。
在选择保存,你回到了连接细节页面。选择下一个继续到下一页。
为连接配置资源。资源包括区域和网络。
- 在地区页,选择一个区域。
- 在网络页,做以下工作:
- 键入1-64个字符的资源名,以帮助识别区域和网络组合。资源名称不能只包含空格或字符
\/;:#.*?=<>|[]{}"'()'。 - 选择虚拟网络/资源组对。(如果有多个具有相同名称的虚拟网络,则将网络名称与资源组配对可以提供唯一的组合。)如果上一页选择的区域没有虚拟网络,请返回上一页选择有虚拟网络的区域。
- 键入1-64个字符的资源名,以帮助识别区域和网络组合。资源名称不能只包含空格或字符
在总结页,查看设置摘要并选择完成来完成您的设置。
申请秘密和秘密截止日期
查看应用ID
在“完全配置”界面可以查看应用ID。
在添加连接和资源向导,选择连接以查看详细信息。的细节选项卡显示应用程序ID。
查看应用秘密
您可以在Azure门户中查看应用程序秘密。
- 得到了应用程序ID从完整配置界面。
- 登录到Azure门户。
- 在Azure中,选择Azure Active Directory。
- 从应用程序注册在Azure AD中,选择应用程序。
- 去证书与秘密。
- 点击客户的秘密。
更改秘密截止日期
使用“完整配置”界面可以为正在使用的应用程序秘密添加或修改到期日期。
- 在添加连接和资源向导,右键单击连接,然后单击编辑连接。
- 在连接属性页面,点击秘密截止日期为正在使用的应用程序秘密添加或修改截止日期。
创建一个新的应用程序秘密
您可以通过Azure门户创建连接的新应用程序密钥。
- 选择Azure Active Directory。
- 从应用程序注册在Azure AD中,选择应用程序。
- 去证书与秘密。
点击客户端秘密>新客户端秘密。
提供秘密的描述并指定持续时间。完成后,选择添加。
注意:
请确保保存客户端密钥,因为以后无法检索它。
- 复制客户端秘密值和截止日期。
- 在“Full Configuration”界面中,编辑相应的连接,并替换应用程序的秘密和秘密截止日期字段中复制的值。
Azure主机连接
Azure节流
Azure资源管理器对订阅和租户的请求进行节流,根据定义的限制路由流量,并根据提供商的特定需求进行定制。看到限制资源管理器请求在微软网站上获取更多信息。对于订阅和租户存在限制,在这些情况下,管理许多机器可能会出现问题。例如,包含许多机器的订阅可能会遇到与电源操作相关的性能问题。
提示:
有关更多信息,请参见使用机器创建服务改进Azure性能。
为了帮助缓解这些问题,Citrix DaaS允许您删除MCS内部限制,以使用Azure中的更多可用请求配额。
在大型订阅(例如包含1000个虚拟机的订阅)中打开或关闭虚拟机时,我们建议采用以下最佳设置:
- 绝对同时操作:500
- 每分钟最多新增操作2000个
- 最大并发操作:500
使用“完全配置”界面为给定的主机连接配置Azure操作:
- 从管理>全配置中,选择举办在左边窗格中。
- 选择与azure相关的连接进行编辑。
- 在编辑连接向导中,选择先进的。
- 在先进的页中,使用配置选项指定同时操作的数量和每分钟最多新操作的数量,以及任何其他连接选项。
MCS默认支持500个最大并发操作。或者,您可以使用Remote PowerShell SDK来设置最大并发操作数。
使用PowerShell财产,MaximumConcurrentProvisioningOperations,以指定Azure配置操作的最大并发数。使用此属性时,请考虑:
- 的默认值
MaximumConcurrentProvisioningOperations是500。 - 配置
MaximumConcurrentProvisioningOperations参数Set-item。
与同一承租者中的另一个服务主体共享映像
若要在Azure Compute Gallery中选择属于不同订阅的映像,则必须与该订阅的服务主体(SPN)共享该映像。
例如,如果有一个服务主体(SPN 1),它在Studio中配置为:
业务主体:spn1
订阅:订阅1
租户:租户1
该映像处于不同的订阅中,在Studio中配置为:
订阅:订阅2
租户:租户1
如果希望与订阅1 (SPN1)共享订阅2中的映像,请转到订阅2,并与SPN1共享资源组。
映像必须使用Azure基于角色的访问控制(RBAC)与另一个SPN共享。Azure RBAC是用于管理对Azure资源访问的授权系统。有关Azure RBAC的详细信息,请参阅Microsoft文档什么是Azure基于角色的访问控制(Azure RBAC)。要授予访问权限,您可以将角色分配给资源组范围内具有Contributor角色的服务主体。要分配Azure角色,您必须具有微软。授权/ roleAssignments /写权限,如“用户访问管理员”或“所有者”。有关与其他SPN共享图像的详细信息,请参阅Microsoft文档使用Azure门户分配Azure角色。
跨Azure租户共享图像
要使用Azure Compute Gallery在租户之间共享映像,请创建应用程序注册。
例如,如果有两个租户(租户1和租户2),并且您希望与租户1共享您的图片库,那么:
为租户1创建应用程序注册。有关更多信息,请参见创建应用程序注册。
通过使用浏览器请求登录,授予租户2对应用程序的访问权限。取代
Tenant2 ID租户ID为“租户1”。取代应用程序(客户端)ID使用您创建的应用程序注册的应用程序ID。替换完成后,将URL粘贴到浏览器中,并按照登录提示登录到租户2。例如:https://login.microsoftonline.com//oauth2/ authorization ?client_id= &response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F 有关更多信息,请参见授予租户2访问权限。
为应用程序提供对租户2资源组的访问权限。以租户2的身份登录,并授予应用程序对具有图库图像的资源组的注册访问权。有关更多信息,请参见跨租户验证请求。
更新主机连接自定义属性
使用Set-Item使用共享租户ID和订阅ID更新托管连接自定义属性。添加属性SharedTenants在CustomProperties。的格式共享的租户是:
[{“租户”:“94367291 - 119 - e - 457 - c - bc10 - 25337231 f7bd”、“订阅”:【“7 bb42f40 - 8 d7f - 4230 - a920 be2781f6d5d9”]},{“租户”:“50 e83564 c4e5 - 4209 b43d - 815 c45659564”、“订阅”:[" 06 ab8944-6a88-47ee-a975-43dd491a37d0 "]}] < !——NeedCopy >例如:
Set-Item -CustomProperties " " -LiteralPath @("XDHyp:\Connections\aazure") -PassThru -UserName "advc345" -SecurePassword $psd 注意:
可以添加多个租户。每个租户可以有多个订阅。
使用完整配置使用共享映像创建或更新机器目录
在“完全配置”界面中创建或更新机器目录时,可以选择来自不同Azure租户和订阅(通过Azure Compute Gallery共享)的共享映像。该特性要求您为关联的主机连接提供共享的租户和订阅信息。完成以下连接步骤:
- 从管理>全配置中,选择举办在左边窗格中。
- 选择连接,然后选择编辑连接在操作栏中。
- 在共享的租户,做以下工作:
- 提供与该连接的订阅关联的应用程序ID和应用程序秘密。DaaS使用此信息对Azure AD进行身份验证。
- 添加与连接的订阅共享Azure计算库的租户和订阅。您最多可以为每个租户添加8个共享租户和8个订阅。
- 完成后,选择应用要应用所做的更改并保持窗口打开,或选择好吧以应用更改并关闭窗口。
使用PowerShell从不同的订阅中选择图像
您可以在Azure Compute Gallery中选择属于同一Azure租户中的不同共享订阅的映像,以便使用PowerShell命令创建和更新MCS目录。
- 在托管单元根文件夹中,Citrix创建一个新的共享订阅文件夹,名为
sharedsubscription。 列出租户中的所有共享订阅。
“xdhp:\HostingUnits\azres\sharedsubscription”。文件夹“< !——NeedCopy >选择一个共享订阅,然后列出该共享订阅的所有共享资源组。
\HostingUnits\azres\image.folder\abc123。sharedsubscription“< !——NeedCopy >选择一个资源组,然后列出该资源组的所有库。
\HostingUnits\azres\image.folder\abc123。sharedsubscription \ xyz。resourcegroup“< !——NeedCopy >选择一个图库,然后列出该图库的所有图像定义。
xdhp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\testgallery。画廊“< !——NeedCopy >选择一个图像定义,然后列出该图像定义的所有图像版本。
xdhp:\HostingUnits\azres\image.folder\abc123.sharedsubscription\xyz.resourcegroup\sigtestdef。imagedefinition“< !——NeedCopy >使用以下元素创建和更新MCS目录:
- 资源组
- 画廊
- 图库图像定义
- 图库图片版本
有关如何使用Remote PowerShell SDK创建目录的信息,请参见https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/。
使用PowerShell从不同的租户选择映像
您可以在Azure计算库中选择属于不同Azure租户的映像,以便使用PowerShell命令创建和更新MCS目录。
- 在托管单元根文件夹中,Citrix创建一个新的共享订阅文件夹,名为
sharedsubscription。 列出所有共享订阅。
Get-ChildItem XDHyp: \ HostingUnits \ azres \ sharedsubscription。文件夹< !——NeedCopy >选择一个共享订阅,然后列出该共享订阅的所有共享资源组。
Get-ChildItem XDHyp: \ HostingUnits \ azres \ image.folder \ abc123。sharedsubscription < !——NeedCopy >选择一个资源组,然后列出该资源组的所有库。
Get-ChildItem XDHyp: \ HostingUnits \ azres \ image.folder \ abc123。sharedsubscription \ xyz。resourcegroup < !——NeedCopy >选择一个图库,然后列出该图库的所有图像定义。
Get-ChildItem XDHyp: \ HostingUnits \ azres \ image.folder \ abc123.sharedsubscription \ xyz.resourcegroup \ efg。画廊< !——NeedCopy >选择一个图像定义,然后列出该图像定义的所有图像版本。
Get-ChildItem XDHyp: \ HostingUnits \ azres \ image.folder \ abc123.sharedsubscription \ xyz.resourcegroup \ efg.gallery \ hij。imagedefinition < !——NeedCopy >使用以下元素创建和更新MCS目录:
- 资源组
- 画廊
- 图库图像定义
- 图库图片版本
有关如何使用Remote PowerShell SDK创建目录的信息,请参见https://developer-docs.citrix.com/projects/citrix-virtual-apps-desktops-sdk/en/latest/creating-a-catalog/。
关于Azure权限
此部分包含Azure所需的最低和一般权限。
最低权限
最小权限提供了更好的安全控制。但是,需要额外权限的新功能会因为只使用最小权限而失败。
创建主机连接
使用从Azure获得的信息添加新的主机连接。
“微软。网络/virtualNetworks/read", "Microsoft.Compute/virtualMachines/read", "Microsoft.Compute/disks/read", 虚拟机电源管理
打开或关闭机器实例。
“微软。Compute/virtualMachines/read", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.Compute/virtualMachines/deallocate/action", "Microsoft.Compute/virtualMachines/start/action", "Microsoft.Compute/virtualMachines/restart/action", 创建、更新、删除虚拟机
创建机器目录,然后添加、删除、更新机器和删除机器目录。
以下是管理主映像时所需的最小权限列表,磁盘或快照位于与主机连接相同的区域。
“微软。资源/订阅/ resourceGroups /阅读”、“微软。资源/部署/验证/行动”、“微软。计算/ virtualMachines /阅读”、“微软。Compute/virtualMachines/write", "Microsoft.Compute/virtualMachines/delete", "Microsoft.Compute/virtualMachines/deallocate/action", "Microsoft.Compute/snapshots/read", "Microsoft.Compute/snapshots/write", "Microsoft.Compute/snapshots/delete", "Microsoft.Compute/snapshots/beginGetAccess/action", "Microsoft.Compute/snapshots/endGetAccess/action", "Microsoft.Compute/disks/read", "Microsoft.Compute/disks/write", "Microsoft.Compute/disks/delete", "Microsoft.Compute/disks/beginGetAccess/action", "Microsoft.Compute/disks/endGetAccess/action", "Microsoft.Network/virtualNetworks/read", "Microsoft.Network/virtualNetworks/subnets/join/action", "Microsoft.Network/virtualNetworks/subnets/read", "Microsoft.Network/networkSecurityGroups/read", "Microsoft.Network/networkSecurityGroups/write", "Microsoft.Network/networkSecurityGroups/delete", "Microsoft.Network/networkSecurityGroups/join/action", "Microsoft.Network/networkInterfaces/read", "Microsoft.Network/networkInterfaces/write", "Microsoft.Network/networkInterfaces/delete", "Microsoft.Network/networkInterfaces/join/action", 在最小权限的基础上,您需要以下额外权限:
如果主映像是与主机连接位于同一区域的存储帐户中的VHD:
“微软。存储/ storageAccounts /阅读”、“微软。存储/ storageAccounts / listKeys /行动”,< !——NeedCopy >如果主图片是来自共享图片库的ImageVersion:
“微软。Compute/galleries/read", "Microsoft.Compute/galleries/images/read", "Microsoft.Compute/galleries/images/versions/read",如果主映像是托管磁盘。快照或VHD位于与主机连接区域不同的区域:
“微软。存储/ storageAccounts /阅读”、“微软。存储/ storageAccounts / listKeys /行动”、“微软。存储/ storageAccounts /写”、“微软。存储/ storageAccounts /删除”,< !——NeedCopy >如果您使用citrix管理的资源组:
“微软。资源/订阅/ resourceGroups /写”、“微软。资源/订阅/ resourceGroups /删除”,< !——NeedCopy >如果你把主图片放到共享图片库中:
“微软。Compute/galleries/write", "Microsoft.Compute/galleries/images/write", "Microsoft.Compute/galleries/images/versions/write", "Microsoft.Compute/galleries/read", "Microsoft.Compute/galleries/images/read", "Microsoft.Compute/galleries/images/versions/read", "Microsoft.Compute/galleries/delete", "Microsoft.Compute/galleries/images/delete", "Microsoft.Compute/galleries/images/versions/delete",如果您使用Azure专用主机支持:
“微软。Compute/hostGroups/read", "Microsoft.Compute/hostGroups/write", "Microsoft.Compute/hostGroups/hosts/read",如果您使用客户管理密钥(CMK)的服务器端加密(SSE):
“微软。Compute/diskEncryptionSets/read",如果使用ARM模板(机器配置文件)部署虚拟机:
“微软。资源/部署/写”、“微软。资源/部署/ operationstatuses /阅读”、“微软。资源/部署/阅读”、“微软。资源/部署/删除”,< !——NeedCopy >如果您使用Azure模板规范作为机器配置文件:
“微软。资源/ templateSpecs /阅读”、“微软。资源/ templateSpecs /版本/读”,< !——NeedCopy >
创建、更新和删除具有非托管磁盘的计算机
以下是当主映像是VHD并且使用admin提供的资源组时所需的最低权限列表:
“微软。资源/订阅/ resourceGroups /阅读”、“微软。存储/ storageAccounts /删除”、“微软。存储/ storageAccounts / listKeys /行动”、“微软。存储/ storageAccounts /阅读”、“微软。存储/ storageAccounts /写”、“微软。Compute/virtualMachines/deallocate/action", "Microsoft.Compute/virtualMachines/delete", "Microsoft.Compute/virtualMachines/read", "Microsoft.Compute/virtualMachines/write", "Microsoft.Resources/deployments/validate/action", "Microsoft.Network/networkInterfaces/delete", "Microsoft.Network/networkInterfaces/join/action", "Microsoft.Network/networkInterfaces/read", "Microsoft.Network/networkInterfaces/write", "Microsoft.Network/networkSecurityGroups/delete", "Microsoft.Network/networkSecurityGroups/join/action", "Microsoft.Network/networkSecurityGroups/read", "Microsoft.Network/networkSecurityGroups/write", "Microsoft.Network/virtualNetworks/subnets/read", "Microsoft.Network/virtualNetworks/read", "Microsoft.Network/virtualNetworks/subnets/join/action" 一般许可
贡献者角色具有管理所有资源的完全访问权限。这组权限不会阻止您获得新功能。
下面的权限集提供了最好的兼容性,尽管它确实包含了比当前功能集所需的更多的权限:
“微软。Compute/diskEncryptionSets/read", "Microsoft.Compute/disks/beginGetAccess/action", "Microsoft.Compute/disks/delete", "Microsoft.Compute/disks/endGetAccess/action", "Microsoft.Compute/disks/read", "Microsoft.Compute/disks/write", "Microsoft.Compute/galleries/delete", "Microsoft.Compute/galleries/images/delete", "Microsoft.Compute/galleries/images/read", "Microsoft.Compute/galleries/images/versions/delete", "Microsoft.Compute/galleries/images/versions/read", "Microsoft.Compute/galleries/images/versions/write", "Microsoft.Compute/galleries/images/write", "Microsoft.Compute/galleries/read", "Microsoft.Compute/galleries/write", "Microsoft.Compute/hostGroups/hosts/read", "Microsoft.Compute/hostGroups/read", "Microsoft.Compute/hostGroups/write", "Microsoft.Compute/snapshots/beginGetAccess/action", "Microsoft.Compute/snapshots/delete", "Microsoft.Compute/snapshots/endGetAccess/action", "Microsoft.Compute/snapshots/read", "Microsoft.Compute/snapshots/write", "Microsoft.Compute/virtualMachines/deallocate/action", "Microsoft.Compute/virtualMachines/delete", "Microsoft.Compute/virtualMachines/read", "Microsoft.Compute/virtualMachines/restart/action", "Microsoft.Compute/virtualMachines/start/action", "Microsoft.Compute/virtualMachines/write", "Microsoft.Network/networkInterfaces/delete", "Microsoft.Network/networkInterfaces/join/action", "Microsoft.Network/networkInterfaces/read", "Microsoft.Network/networkInterfaces/write", "Microsoft.Network/networkSecurityGroups/delete", "Microsoft.Network/networkSecurityGroups/join/action", "Microsoft.Network/networkSecurityGroups/read", "Microsoft.Network/networkSecurityGroups/write", "Microsoft.Network/virtualNetworks/subnets/read", "Microsoft.Network/virtualNetworks/read", "Microsoft.Network/virtualNetworks/subnets/join/action", "Microsoft.Resources/deployments/operationstatuses/read", "Microsoft.Resources/deployments/read", "Microsoft.Resources/deployments/validate/action", "Microsoft.Resources/deployments/write", "Microsoft.Resources/deployments/delete", "Microsoft.Resources/subscriptions/resourceGroups/read", "Microsoft.Resources/subscriptions/resourceGroups/write", "Microsoft.Resources/subscriptions/resourceGroups/delete", "Microsoft.Storage/storageAccounts/delete", "Microsoft.Storage/storageAccounts/listKeys/action", "Microsoft.Storage/storageAccounts/read", "Microsoft.Storage/storageAccounts/write", "Microsoft.Resources/templateSpecs/read", "Microsoft.Resources/templateSpecs/versions/read", 下一步该去哪里?
- 如果您处于初始部署过程中,请参见 创建机器目录。
- 有关Azure特定信息,请参见创建Microsoft Azure目录。