Přiřazení rolí Azure RBAC nebo rolí Microsoft Entra k instančním objektům služby Azure Virtual Desktop

Článek
10/23/2024

Několik funkcí služby Azure Virtual Desktop vyžaduje přiřazení rolí řízení přístupu na základě role Azure (Azure RBAC) nebo rolí Microsoft Entra k jednomu z instančních objektů služby Azure Virtual Desktop. Mezi funkce, které potřebujete přiřadit roli instančnímu objektu služby Azure Virtual Desktop, patří:

Připojení aplikace (při použití služby Azure Files a hostitelů relací připojených k Microsoft Entra ID)
Automatické škálování:
Aktualizace hostitele relace
Spusťte virtuální počítač při připojení.

Tip

Můžete zjistit, jakou roli nebo role potřebujete přiřadit k jakému instančnímu objektu v článku pro každou funkci. Seznam všech dostupných rolí Azure RBAC vytvořených speciálně pro Azure Virtual Desktop najdete v tématu Předdefinované role Azure RBAC pro Azure Virtual Desktop. Další informace o Azure RBAC najdete v dokumentaci k Azure RBAC nebo pro role Microsoft Entra v dokumentaci k rolím Microsoft Entra.

V závislosti na tom, kdy jste zaregistrovali poskytovatele prostředků Microsoft.DesktopVirtualization , začínají hlavní názvy služeb buď službou Azure Virtual Desktop , nebo Windows Virtual Desktop. Pokud jste použili Azure Virtual Desktop Classic i Azure Virtual Desktop (Azure Resource Manager), zobrazí se aplikace se stejným názvem. Zkontrolujte ID aplikace a ujistěte se, že přiřazujete role správnému instančnímu objektu. ID aplikace pro každý instanční objekt je v následující tabulce:

Instanční objekt	ID aplikace
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

V tomto článku se dozvíte, jak přiřadit role Azure RBAC nebo role Microsoft Entra správným instančním objektům služby Azure Virtual Desktop pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.

Požadavky

Než budete moct přiřadit roli instančnímu objektu služby Azure Virtual Desktop, musíte splnit následující požadavky:

Pokud chcete přiřadit role Azure RBAC, musíte mít Microsoft.Authorization/roleAssignments/write oprávnění k předplatnému Azure, abyste mohli přiřadit role v daném předplatném. Toto oprávnění je součástí předdefinovaných rolí Vlastník nebo Správce uživatelských přístupů.
Pokud chcete přiřadit role Microsoft Entra, musíte mít roli správce privilegovaných rolí nebo globálního správce .
Pokud chcete použít Azure PowerShell nebo Azure CLI místně, přečtěte si téma Použití Azure CLI a Azure PowerShellu s Azure Virtual Desktopem a ujistěte se, že máte nainstalovaný modul Az.DesktopVirtualization PowerShell nebo rozšíření Azure CLI desktopvirtualizace . Alternativně použijte Azure Cloud Shell.

Přiřazení role Azure RBAC k instančnímu objektu služby Azure Virtual Desktop

Pokud chcete přiřadit roli Azure RBAC instančnímu objektu služby Azure Virtual Desktop, vyberte příslušnou kartu pro váš scénář a postupujte podle kroků. V těchto příkladech je rozsah přiřazení role předplatným Azure, ale musíte použít obor a roli požadovanou jednotlivými funkcemi.

Tady je postup přiřazení role Azure RBAC k instančnímu objektu služby Azure Virtual Desktop s oborem předplatného pomocí webu Azure Portal.

Přihlaste se k portálu Azure.
Do vyhledávacího pole zadejte ID Microsoft Entra a vyberte odpovídající položku služby.
Na stránce Přehled do vyhledávacího pole Prohledat tenanta zadejte ID aplikace instančního objektu, který chcete přiřadit z předchozí tabulky.
Ve výsledcích vyberte odpovídající podnikovou aplikaci pro instanční objekt, který chcete přiřadit, a spusťte Azure Virtual Desktop nebo Windows Virtual Desktop.
V části vlastnosti si poznamenejte název a ID objektu. ID objektu koreluje s ID aplikace a je jedinečné pro vašeho tenanta.
Do vyhledávacího pole zadejte Předplatná a vyberte odpovídající položku služby.
Vyberte předplatné, ke které chcete přidat přiřazení role.
Vyberte Řízení přístupu (IAM) a pak vyberte + Přidat následované přidáním přiřazení role.
Vyberte roli, kterou chcete přiřadit k instančnímu objektu služby Azure Virtual Desktop, a pak vyberte Další.
Ujistěte se, že je možnost Přiřadit přístup nastavená na uživatele, skupinu nebo instanční objekt microsoftu Entra, a pak vyberte Vybrat členy.
Zadejte název podnikové aplikace, kterou jste si poznamenali dříve.
Ve výsledcích vyberte odpovídající položku a pak vyberte Vybrat. Pokud máte dvě položky se stejným názvem, vyberte je prozatím oba.
Zkontrolujte seznam členů v tabulce. Pokud máte dvě položky, odeberte položku, která neodpovídá ID objektu, které jste si poznamenali dříve.
Vyberte Další a pak vyberte Zkontrolovat a přiřadit , abyste dokončili přiřazení role.

Tady je postup, jak přiřadit roli Azure RBAC instančnímu objektu služby Azure Virtual Desktop s oborem předplatného pomocí modulu Az.DesktopVirtualization PowerShell.

Otevřete Azure Cloud Shell na webu Azure Portal s typem terminálu PowerShellu nebo spusťte PowerShell na místním zařízení.
- Pokud používáte Cloud Shell, ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.
- Pokud používáte PowerShell místně, nejprve se přihlaste pomocí Azure PowerShellu a ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.

Pomocí následujícího příkazu vyhledejte ID předplatného, ke kterému chcete přidat přiřazení role:
```
Get-AzSubscription
```
Uložte ID předplatného do proměnné spuštěním následujícího příkazu a nahraďte ID předplatného v tomto příkladu vlastními:
```
$subId = "<SubscriptionID>"
```

Přiřaďte roli instančnímu objektu služby Azure Virtual Desktop spuštěním následujícího příkazu, přičemž hodnotu RoleDefinitionName parametru nahraďte názvem role, kterou potřebujete přiřadit, a ApplicationId parametr s ID aplikace instančního objektu, který chcete přiřadit z předchozí tabulky. Tento příklad přiřadí roli Přispěvatel Power On Off Virtualizace desktopové plochy instančnímu objektu služby Azure Virtual Desktop v předplatném:

$parameters = @{
    RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
    ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
    Scope = "/subscriptions/$subId"
}

New-AzRoleAssignment @parameters

Výstup by se měl podobat následujícímu příkladu:

RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName        : Azure Virtual Desktop
SignInName         : 
RoleDefinitionName : Desktop Virtualization Power On Off Contributor
RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
ObjectId           : 00000000-0000-0000-0000-000000000000
ObjectType         : ServicePrincipal
CanDelegate        : False
Description        : 
ConditionVersion   : 
Condition          :

Tady je postup přiřazení role Azure RBAC k instančnímu objektu služby Azure Virtual Desktop s oborem předplatného pomocí rozšíření desktopovévirtualizace pro Azure CLI.

Otevřete Azure Cloud Shell na webu Azure Portal s typem terminálu Bash nebo spusťte Azure CLI na místním zařízení.
- Pokud používáte Cloud Shell, ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.
- Pokud používáte Azure CLI místně, nejprve se přihlaste pomocí Azure CLI a pak se ujistěte, že je váš kontext Azure nastavený na předplatné, které chcete použít.

Pomocí následujícího příkazu vyhledejte ID předplatného, ke kterému chcete přidat přiřazení role:
```
az account list --output table
```
Uložte hodnotu SubscriptionId do proměnné spuštěním následujícího příkazu a nahraďte ID předplatného v tomto příkladu vlastními:
```
subId=00000000-0000-0000-0000-000000000000
```

Přiřaďte roli instančnímu objektu služby Azure Virtual Desktop spuštěním následujícího příkazu, přičemž hodnotu role parametru nahraďte názvem role, kterou potřebujete přiřadit, a assignee parametr s ID aplikace instančního objektu, který chcete přiřadit z předchozí tabulky. Tento příklad přiřadí roli Přispěvatel Power On Off Virtualizace desktopové plochy instančnímu objektu služby Azure Virtual Desktop v předplatném:

az role assignment create \
    --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
    --role "Desktop Virtualization Power On Off Contributor" \
    --scope "/subscriptions/$subId"

Výstup by se měl podobat následujícímu příkladu:

{
  "condition": null,
  "conditionVersion": null,
  "createdBy": null,
  "createdOn": "2023-06-22T13:50:22.978226+00:00",
  "delegatedManagedIdentityResourceId": null,
  "description": null,
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
  "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
  "principalId": "00000000-0000-0000-0000-000000000000",
  "principalType": "ServicePrincipal",
  "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
  "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
  "type": "Microsoft.Authorization/roleAssignments",
  "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
  "updatedOn": "2023-06-22T13:50:23.335229+00:00"
}

Přiřazení role Microsoft Entra instančnímu objektu služby Azure Virtual Desktop

Pokud chcete k instančnímu objektu služby Azure Virtual Desktop přiřadit roli Microsoft Entra, vyberte příslušnou kartu pro váš scénář a postupujte podle kroků. V těchto příkladech je rozsah přiřazení role předplatným Azure, ale musíte použít obor a roli požadovanou jednotlivými funkcemi.

Tady je postup, jak přiřadit roli Microsoft Entra instančnímu objektu služby Azure Virtual Desktop vymezenému tenantovi pomocí webu Azure Portal.

Přihlaste se k portálu Azure.
Do vyhledávacího pole zadejte ID Microsoft Entra a vyberte odpovídající položku služby.
Vyberte položku Role a správci.
Vyhledejte a vyberte název role, kterou chcete přiřadit. Pokud chcete přiřadit vlastní roli, přečtěte si téma Vytvoření vlastní role , která ji vytvoří jako první.
Vyberte Přidat přiřazení.
Do vyhledávacího pole zadejte ID aplikace pro instanční objekt, který chcete přiřadit z předchozí tabulky, například 9cdead84-a844-4324-93f2-b2e6bb768d07.
Zaškrtněte políčko vedle odpovídající položky a pak výběrem možnosti Přidat dokončete přiřazení role.

Další kroky

Přečtěte si další informace o předdefinovaných rolích Azure RBAC pro Azure Virtual Desktop.

Sdílet prostřednictvím

Přiřazení rolí Azure RBAC nebo rolí Microsoft Entra k instančním objektům služby Azure Virtual Desktop

Požadavky

Přiřazení role Azure RBAC k instančnímu objektu služby Azure Virtual Desktop

Přiřazení role Microsoft Entra instančnímu objektu služby Azure Virtual Desktop

Další kroky

Váš názor

Další materiály