Zuweisen von Azure RBAC-Rollen oder Microsoft Entra-Rollen zu Azure Virtual Desktop-Dienstprinzipalen

Im Folgenden wird beschrieben, wie Sie einem Azure Virtual Desktop-Dienstprinzipal mithilfe des Azure-Portals eine auf ein Abonnement beschränkte Azure RBAC-Rolle zuweisen.

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie im Suchfeld Microsoft Entra ID ein, und wählen Sie den entsprechenden Diensteintrag aus.

3. Geben Sie auf der Seite „Übersicht“ im Suchfeld für Ihren Mandanten durchsuchen die Anwendungs-ID aus der obigen Tabelle für den Dienstprinzipal ein, dem Sie eine Rolle zuweisen möchten.

4. Wählen Sie in den Ergebnissen die entsprechende Unternehmensanwendung für den Dienstprinzipal aus, den Sie zuweisen möchten. Diese beginnt entweder mit Azure Virtual Desktop oder Windows Virtual Desktop.

5. Notieren Sie sich den unter Eigenschaften angegebenen Namen und die Objekt-ID. Die Objekt-ID korreliert mit der Anwendungs-ID und ist für Ihren Mandanten eindeutig.

6. Geben Sie im Suchfeld Abonnements ein, und wählen Sie den entsprechenden Diensteintrag aus.

7. Wählen Sie das Abonnement aus, dem Sie die Rollenzuweisung hinzufügen möchten.

8. Wählen Sie Zugriffssteuerung (IAM) und anschließend + Hinzufügen, gefolgt von Rollenzuweisung hinzufügen aus.

9. Wählen Sie die Rolle, die Sie dem Azure Virtual Desktop-Dienstprinzipal zuweisen möchten, und dann Weiter aus.

10. Stellen Sie sicher, dass Zugriff zuweisen zu auf Microsoft Entra-Benutzer*in, -Gruppe oder -Dienstprinzipal festgelegt ist, und wählen Sie dann Mitglieder auswählen aus.

11. Geben Sie den Namen der Unternehmensanwendung ein, die Sie zuvor notieren haben.

12. Wählen Sie den entsprechenden Eintrag aus den Ergebnissen und dann Auswählen aus. Wenn zwei Einträge mit demselben Namen vorhanden sind, wählen Sie vorerst beide aus.

13. Überprüfen Sie die Liste der Mitglieder in der Tabelle. Wenn zwei Einträge vorhanden sind, entfernen Sie den Eintrag, der nicht mit der Objekt-ID übereinstimmt, die Sie sich zuvor notieren haben.

14. Wählen Sie Weiter und dann Überprüfen + zuweisen aus, um die Rollenzuweisung abzuschließen.

Im Folgenden wird beschrieben, wie Sie einem Azure Virtual Desktop-Dienstprinzipal mithilfe des PowerShell-Moduls Az.DesktopVirtualization eine auf ein Abonnement beschränkte Azure RBAC-Rolle zuweisen.

1. Öffnen Sie Azure Cloud Shell im Azure-Portal mit dem Terminaltyp PowerShell, oder führen Sie PowerShell auf Ihrem lokalen Gerät aus.

   • Wenn Sie Cloud Shell verwenden, stellen Sie sicher, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

   • Wenn Sie die PowerShell lokal verwenden, müssen Sie sich zunächst mit Azure PowerShell anmelden und dann sicherstellen, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

2. Suchen Sie der ID des Abonnements, dem Sie die Rollenzuweisung hinzufügen möchten, indem Sie mit dem folgenden Befehl alle verfügbaren Abonnements auflisten:

   Get-AzSubscription
   

3. Speichern Sie die Abonnement-ID in einer Variablen, indem Sie den folgenden Befehl ausführen und die Abonnement-ID in diesem Beispiel durch Ihre eigene ersetzen:

   $subId = "<SubscriptionID>"
   

4. Weisen Sie einem Azure Virtual Desktop-Dienstprinzipal die Rolle zu, indem Sie den folgenden Befehl ausführen. Ersetzen Sie dabei den Wert für den RoleDefinitionName-Parameter durch den Namen der Rolle, die Sie zuweisen müssen, und den Wert für den ApplicationId-Parameter durch die Anwendungs-ID des Dienstprinzipals (siehe obige Tabelle), den Sie zuweisen möchten. In diesem Beispiel wird die Rolle Power On/Off-Mitwirkender für Desktopvirtualisierung dem Azure Virtual Desktop-Dienstprinzipal für das Abonnement zugewiesen:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   Die Ausgabe sollte ungefähr wie im folgenden Beispiel aussehen:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Im Folgenden wird beschrieben, wie Sie einem Azure Virtual Desktop-Dienstprinzipal mithilfe der Erweiterung desktopvirtualization für die Azure CLI eine auf ein Abonnement beschränkte Azure RBAC-Rolle zuweisen.

1. Öffnen Sie Azure Cloud Shell im Azure-Portal mit dem Terminaltyp Bash, oder führen Sie die Azure CLI auf Ihrem lokalen Gerät aus.

   • Wenn Sie Cloud Shell verwenden, stellen Sie sicher, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

   • Wenn Sie die Azure CLI lokal verwenden, müssen Sie sich zunächst mit der Azure CLI anmelden und dann sicherstellen, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

2. Suchen Sie der ID des Abonnements, dem Sie die Rollenzuweisung hinzufügen möchten, indem Sie mit dem folgenden Befehl alle verfügbaren Abonnements auflisten:

   az account list --output table
   

3. Speichern Sie den Wert für SubscriptionId in einer Variablen, indem Sie den folgenden Befehl ausführen und die Abonnement-ID in diesem Beispiel durch Ihre eigene ersetzen:

   subId=00000000-0000-0000-0000-000000000000
   

4. Weisen Sie einem Azure Virtual Desktop-Dienstprinzipal die Rolle zu, indem Sie den folgenden Befehl ausführen. Ersetzen Sie dabei den Wert für den role-Parameter durch den Namen der Rolle, die Sie zuweisen müssen, und den Wert für den assignee-Parameter durch die Anwendungs-ID des Dienstprinzipals (siehe obige Tabelle), den Sie zuweisen möchten. In diesem Beispiel wird die Rolle Power On/Off-Mitwirkender für Desktopvirtualisierung dem Azure Virtual Desktop-Dienstprinzipal für das Abonnement zugewiesen:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   Die Ausgabe sollte ungefähr wie im folgenden Beispiel aussehen:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }