Freigeben von VM-Images im Katalog über Azure-Mandanten mithilfe einer App-Registrierung

Mit dem Azure Compute Gallery können Sie ein VM-Image (Virtual Machine) mit einer anderen Organisation teilen, indem Sie eine App-Registrierung verwenden. Informationen zu anderen Freigabeoptionen finden Sie unter Freigeben von Katalogressourcen für Abonnements und Mandanten mithilfe von RBAC.

Wenn Sie jedoch Images außerhalb Ihres Azure-Mandanten freigeben möchten, sollten Sie eine App-Registrierung erstellen. Die Verwendung einer App-Registrierung kann komplexere Freigabeszenarien ermöglichen, wie z.B.:

• Verwaltung freigegebener Images, wenn ein Unternehmen ein anderes erwirbt, und die Azure-Infrastruktur ist auf verschiedene Mandanten verteilt.
• Azure-Partner verwalten Azure-Infrastruktur im Namen ihrer Kunden. Die Anpassung der Images erfolgt innerhalb des Partners, aber die Bereitstellung der Infrastruktur erfolgt beim Mandanten des Kunden.

Erstellen der App-Registrierung

Erstellen Sie eine App-Registrierung, die von beiden Mandanten verwendet wird, um die Ressourcen des Imagekatalogs freizugeben.

1. Öffnen Sie die App-Registrierungen im Azure-Portal.
2. Wählen im Menü oben auf der Seite die Schaltfläche Neue Registrierung aus.
3. Geben Sie im Feld NamemyGalleryApp ein.
4. Wählen Sie bei Unterstützte Kontotypen die Option Konten in allen Organisationsverzeichnissen (beliebiges Microsoft Entra-Verzeichnis: mehrere Mandanten) und persönliche Microsoft-Konten (z. B. Skype, Xbox) aus.
5. Wählen Sie unter Umleitungs-URI die Option Web aus der Dropdownliste Plattform auswählen aus, und geben Sie https://www.microsoft.com ein. Wählen Sie dann Registrieren aus. Nachdem die App-Registrierung erstellt wurde, öffnet sich die Übersichtsseite.
6. Kopieren Sie auf der Übersichtsseite die Anwendungs-ID (Client) und speichern Sie sie zur späteren Verwendung.
7. Wählen Sie Zertifikate und Geheimnisse und dann Neuer geheimer Clientschlüssel aus.
8. Geben Sie im Feld BeschreibungMandantenübergreifendes App-Geheimnis für Katalog ein.
9. Ändern Sie unter Ablauf den Standardwert 6 Monate (empfohlen) in 12 Monate, und wählen Sie dann Hinzufügen aus.
10. Kopieren Sie den Wert des geheimen Schlüssels, und speichern Sie ihn an einem sicheren Ort. Sie können ihn nicht mehr abrufen, nachdem Sie die Seite verlassen haben.

Erteilen Sie der App-Registrierung die Berechtigung, den Katalog zu nutzen.

1. Wählen Sie im Azure-Portal den Katalog in Azure Compute Gallery aus, den Sie für einen anderen Mandanten freigeben möchten.
2. Wählen Sie Zugriffssteuerung (IAM) auswählen und dann unter Rollenzuordnung hinzufügenHinzufügen aus.
3. Wählen Sie unter Rolle die Option Leser aus.
4. Behalten Sie unter Zugriff zuweisen zu die Einstellung Microsoft Entra-Benutzer, -Gruppe oder -Dienstprinzipal bei.
5. Geben Sie unter Mitglieder auswählen die Angabe myGalleryApp ein, und wählen Sie sie aus, wenn sie in der Liste angezeigt wird. Wählen Sie abschließend Überprüfen und zuweisen aus.

Mandant 2 Zugriff gewähren

Gewähren Sie Mandant 2 durch Anfordern einer Anmeldung mit einem Browser Zugriff auf die Anwendung. Ersetzen Sie <Mandant2 ID> durch die Mandant-ID des Mandanten, für den Sie Ihre Bildergalerie freigeben möchten. Benutzer können ihre Mandanten-ID mithilfe des Azure CLI-Befehls az account show anzeigen.

Ersetzen Sie die <Anwendungs-(Client-)ID> durch die Anwendungs-ID der von Ihnen erstellten App-Registrierung. Wenn Sie die Ersetzungen vorgenommen haben, fügen Sie die URL in einen Browser ein, und folgen Sie den Anmeldeaufforderungen, um sich bei Mandant 2 anzumelden.

https://login.microsoftonline.com/<Tenant 2 ID>/oauth2/authorize?client_id=<Application (client) ID>&response_type=code&redirect_uri=https%3A%2F%2Fwww.microsoft.com%2F 

Melden Sie sich im Azure-Portal als Mandant 2 an, und geben Sie der App-Registrierung Zugriff auf die Ressourcengruppe, in der Sie die VM erstellen möchten.

1. Wählen Sie die Ressourcengruppe und dann Zugriffssteuerung (IAM) aus. Wählen Sie unter Rollenzuweisung hinzufügen die Option Hinzufügen aus.
2. Geben Sie unter Rolle die Option Mitwirkender ein.
3. Behalten Sie unter Zugriff zuweisen zu die Einstellung Microsoft Entra-Benutzer, -Gruppe oder -Dienstprinzipal bei.
4. Geben Sie unter Mitglieder auswählen die Angabe myGalleryApp ein, und wählen Sie sie aus, wenn sie in der Liste angezeigt wird. Wählen Sie abschließend Überprüfen und zuweisen aus.

Erstellen des virtuellen Computers

Sie benötigen die folgenden Informationen, bevor Sie einen virtuellen Computer aus einem Für Sie freigegebenen Image erstellen, indem Sie eine App-Registrierung verwenden:

• Die Mandanten-IDs aus dem Quellabonnement und dem Abonnement, in dem Sie die VM erstellen möchten
• Die Client-ID der App-Registrierung und des geheimen Schlüssels
• Die Bild-ID des Bilds, das Sie verwenden möchten

tenant1='<ID for tenant 1>'
tenant2='<ID for tenant 2>'
appid='<client ID of the app registration>'
secret='<secret from the app registration>'

az account clear
az login --service-principal -u $appid -p $secret --tenant $tenant1
az account get-access-token 

az login --service-principal -u $appid -p $secret --tenant $tenant2
az account get-access-token

imageid="<ID of the image that you want to use>"
az vm create \
  --resource-group myResourceGroup \
  --name myVM \
  --image $imageid \
  --admin-username azureuser \
  --generate-ssh-keys

$applicationId = '<App ID>'
$secret = <Secret> | ConvertTo-SecureString -AsPlainText -Force
$tenant1 = "<Tenant 1 ID>"
$tenant2 = "<Tenant 2 ID>"
$cred = New-Object -TypeName PSCredential -ArgumentList $applicationId, $secret
Clear-AzContext
Connect-AzAccount -ServicePrincipal -Credential $cred  -Tenant "<Tenant 1 ID>"
Connect-AzAccount -ServicePrincipal -Credential $cred -Tenant "<Tenant 2 ID>"

$resourceGroup = "myResourceGroup"
$location = "South Central US"
$vmName = "myVMfromImage"

# Set a variable for the image version in Tenant 1 by using the full image ID of the image version
$image = "/subscriptions/<Tenant 1 subscription>/resourceGroups/<Resource group>/providers/Microsoft.Compute/galleries/<Gallery>/images/<Image definition>/versions/<version>"

# Create a user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

# Create a resource group
New-AzResourceGroup -Name $resourceGroup -Location $location

# Networking pieces
$subnetConfig = New-AzVirtualNetworkSubnetConfig -Name mySubnet -AddressPrefix 192.168.1.0/24
$vnet = New-AzVirtualNetwork -ResourceGroupName $resourceGroup -Location $location `
  -Name MYvNET -AddressPrefix 192.168.0.0/16 -Subnet $subnetConfig
$pip = New-AzPublicIpAddress -ResourceGroupName $resourceGroup -Location $location `
  -Name "mypublicdns$(Get-Random)" -AllocationMethod Static -IdleTimeoutInMinutes 4
$nsgRuleRDP = New-AzNetworkSecurityRuleConfig -Name myNetworkSecurityGroupRuleRDP  -Protocol Tcp `
  -Direction Inbound -Priority 1000 -SourceAddressPrefix * -SourcePortRange * -DestinationAddressPrefix * `
  -DestinationPortRange 3389 -Access Allow
$nsg = New-AzNetworkSecurityGroup -ResourceGroupName $resourceGroup -Location $location `
  -Name myNetworkSecurityGroup -SecurityRules $nsgRuleRDP
$nic = New-AzNetworkInterface -Name myNic -ResourceGroupName $resourceGroup -Location $location `
  -SubnetId $vnet.Subnets[0].Id -PublicIpAddressId $pip.Id -NetworkSecurityGroupId $nsg.Id

# Create a virtual machine configuration by using the $image variable to specify the image
$vmConfig = New-AzVMConfig -VMName $vmName -VMSize Standard_D1_v2 | `
Set-AzVMOperatingSystem -Windows -ComputerName $vmName -Credential $cred | `
Set-AzVMSourceImage -Id $image | `
Add-AzVMNetworkInterface -Id $nic.Id

# Create a virtual machine
New-AzVM -ResourceGroupName $resourceGroup -Location $location -VM $vmConfig

Verwandte Inhalte

• Wenn Probleme auftreten, können Sie Kataloge beheben.