Zuweisen von RBAC-Rollen zu azure Virtual Desktop-Dienstprinzipale
Mehrere Azure Virtual Desktop-Features erfordern, dass Sie azure-rollenbasierte Zugriffssteuerungsrollen (Azure RBAC) einem der Azure Virtual Desktop-Dienstprinzipale zuweisen. Features, die Sie einem Azure Virtual Desktop-Dienstprinzipal zuweisen müssen, umfassen:
- Autoskalierung.
- Starten Sie den virtuellen Computer auf Verbinden.
- App Attach (bei Verwendung von Azure Files und Ihren Sitzungshosts, die mit Microsoft Entra-ID verknüpft sind).
Tipp
Sie finden die Rolle, die Sie zuweisen müssen, welcher Dienstprinzipal im Artikel für jedes Feature verwendet werden soll. Eine Liste aller verfügbaren Rollen speziell für Azure Virtual Desktop finden Sie in den integrierten Azure RBAC-Rollen für Azure Virtual Desktop . Weitere Informationen zu Azure RBAC finden Sie in der Azure RBAC-Dokumentation.
Je nachdem, wann Sie den Microsoft.DesktopVirtualization-Ressourcenanbieter registriert haben, beginnen die Dienstprinzipalnamen entweder mit Azure Virtual Desktop oder Windows Virtual Desktop. Wenn Sie sowohl Azure Virtual Desktop Classic als auch einen Azure Virtual Desktop (Azure Resource Manager) verwendet haben, werden Apps mit demselben Namen angezeigt. Sie können sicherstellen, dass Sie dem richtigen Dienstprinzipal Rollen zuweisen, indem Sie die Anwendungs-ID überprüfen. Die Anwendungs-ID für jeden Dienstprinzipal befindet sich in der folgenden Tabelle:
Dienstprinzipal | Anwendungs-ID |
---|---|
Azure Virtual Desktop Windows Virtual Desktop |
9cdead84-a844-4324-93f2-b2e6bb768d07 |
Azure Virtual Desktop Client Windows Virtual Desktop Client |
a85cf173-4192-42f8-81fa-777a763e6e2c |
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider |
50e95039-b200-4007-bc97-8d5790743a63 |
In diesem Artikel erfahren Sie, wie Sie den richtigen Azure Virtual Desktop-Dienstprinzipalen mithilfe der Azure-Portal, azure CLI oder Azure PowerShell eine Rolle zuweisen.
Voraussetzungen
Bevor Sie einem Azure Virtual Desktop-Dienstprinzipal eine Rolle zuweisen können, müssen Sie die folgenden Voraussetzungen erfüllen:
Sie müssen über die Berechtigung
Microsoft.Authorization/roleAssignments/write
für ein Azure-Abonnement verfügen, um Rollen für dieses Abonnement zuzuweisen. Diese Berechtigung ist Teil der integrierten Rolle Besitzer oder Benutzerzugriffsadministrator.Wenn Sie Azure PowerShell oder Azure CLI lokal verwenden möchten, lesen Sie die Verwendung von Azure CLI und Azure PowerShell mit Azure Virtual Desktop, um sicherzustellen, dass Das PowerShell-Modul Az.DesktopVirtualization oder die Desktopvirtualisierung azure CLI-Erweiterung installiert ist. Stattdessen können Sie auch die Azure Cloud Shell verwenden.
Zuweisen einer Rolle zu einem Azure Virtual Desktop-Dienstprinzipal
Wenn Sie einem Azure Virtual Desktop-Dienstprinzipal eine Rolle zuweisen möchten, wählen Sie die relevante Registerkarte für Ihr Szenario aus, und führen Sie die Schritte aus. In diesen Beispielen ist der Umfang der Rollenzuweisung ein Azure-Abonnement, Sie müssen jedoch den Bereich und die rolle verwenden, die für jedes Feature erforderlich ist.
Hier erfahren Sie, wie Sie einem Azure Virtual Desktop-Dienstprinzipal mithilfe des Azure-Portal eine Rolle zuweisen.
Melden Sie sich beim Azure-Portal an.
Geben Sie im Suchfeld Microsoft Entra ID ein, und wählen Sie den entsprechenden Diensteintrag aus.
Geben Sie auf der Seite "Übersicht" im Suchfeld für "Ihren Mandanten suchen" die Anwendungs-ID für den Dienstprinzipal ein, den Sie aus der vorherigen Tabelle zuweisen möchten.
Wählen Sie in den Ergebnissen die entsprechende Unternehmensanwendung für den Dienstprinzipal aus, den Sie zuweisen möchten, beginnend mit Azure Virtual Desktop oder Windows Virtual Desktop.
Notieren Sie sich den unter Eigenschaften angegebenen Namen und die Objekt-ID. Die Objekt-ID korreliert mit der Anwendungs-ID und ist für Ihren Mandanten eindeutig.
Geben Sie im Suchfeld Abonnements ein, und wählen Sie den entsprechenden Diensteintrag aus.
Wählen Sie das Abonnement aus, dem Sie die Rollenzuweisung hinzufügen möchten.
Wählen Sie Zugriffssteuerung (IAM) und anschließend + Hinzufügen, gefolgt von Rollenzuweisung hinzufügen aus.
Wählen Sie die Rolle, die Sie dem Azure Virtual Desktop-Dienstprinzipal zuweisen möchten, und dann Weiter aus.
Stellen Sie sicher, dass Zugriff zuweisen zu auf Microsoft Entra-Benutzer*in, -Gruppe oder -Dienstprinzipal festgelegt ist, und wählen Sie dann Mitglieder auswählen aus.
Geben Sie den Namen der Unternehmensanwendung ein, die Sie zuvor notieren haben.
Wählen Sie den entsprechenden Eintrag aus den Ergebnissen und dann Auswählen aus. Wenn Sie zwei Einträge mit demselben Namen haben, wählen Sie beide für den Heutigen aus.
Überprüfen Sie die Liste der Mitglieder in der Tabelle. Wenn zwei Einträge vorhanden sind, entfernen Sie den Eintrag, der nicht mit der Objekt-ID übereinstimmt, die Sie sich zuvor notieren haben.
Wählen Sie Weiter und dann Überprüfen + zuweisen aus, um die Rollenzuweisung abzuschließen.
Nächste Schritte
Erfahren Sie mehr über integrierte Azure RBAC-Rollen für Azure Virtual Desktop.