Поделиться через


Назначьте роли Azure RBAC или роли Microsoft Entra для принципалов служб Виртуального рабочего стола Azure

Для нескольких функций виртуального рабочего стола Azure требуется назначить роли управления доступом на основе ролей Azure (Azure RBAC) или роли Microsoft Entra одному из субъектов-служб Виртуального рабочего стола Azure. Функции, для которых необходимо назначить роль служебному принципалу сервиса Виртуального рабочего стола Azure, включают:

Совет

Вы можете найти, какую роль или роли необходимо назначить субъекту-службе в статье для каждой функции. Список всех доступных ролей Azure RBAC, созданных специально для виртуального рабочего стола Azure, см. в статье "Встроенные роли Azure RBAC" для виртуального рабочего стола Azure. Дополнительные сведения о Azure RBAC см. в документации по Azure RBAC или документацию по ролям Microsoft Entra, см. документации по ролям Microsoft Entra.

В зависимости от того, когда вы зарегистрировали поставщика ресурсов Microsoft.DesktopVirtualization, имена субъектов-служб начинаются с виртуального рабочего стола Azure или виртуального рабочего стола Windows. Кроме того, если вы ранее использовали классический виртуальный рабочий стол Azure и Виртуальный рабочий стол Azure (Azure Resource Manager), вы увидите приложения с одинаковым именем. Вы можете убедиться, что вы назначаете роли правильному служебному принципалу, проверив его идентификатор приложения. Идентификатор приложения для каждого субъекта-службы находится в следующей таблице:

Субъект-служба Идентификатор приложения
Azure Virtual Desktop
Windows Virtual Desktop
9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client
Windows Virtual Desktop Client
a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider
Windows Virtual Desktop ARM Provider
50e95039-b200-4007-bc97-8d5790743a63

В этой статье показано, как назначить роли Azure RBAC или роли Microsoft Entra соответствующим субъектам службы Виртуального рабочего стола Azure с помощью портала Azure, Azure CLI или Azure PowerShell.

Предварительные требования

Прежде чем назначить роль основному объекту службы Azure Virtual Desktop, необходимо выполнить следующие предварительные требования:

Назначение роли Azure RBAC сервисному принципалу Виртуального рабочего стола Azure

Чтобы назначить роль Azure RBAC субъекту-службе Виртуального рабочего стола Azure, выберите соответствующую вкладку для вашего сценария и выполните действия. В этих примерах область назначения роли — это подписка Azure, но необходимо использовать область и роль, необходимую для каждой функции.

Вот как назначить роль Azure RBAC служебному принципалу Виртуального рабочего стола Azure в пределах подписки, используя портал Azure.

  1. Войдите на портал Azure.

  2. В поле поиска введите идентификатор Microsoft Entra и выберите соответствующую запись службы.

  3. На странице обзора в поле поиска клиента введите идентификатор приложения для субъекта-службы, назначаемого из предыдущей таблицы.

  4. В результатах выберите соответствующее корпоративное приложение для субъекта-службы, который вы хотите назначить, начиная с виртуального рабочего стола Azure или виртуального рабочего стола Windows.

  5. В разделе свойств запишите имя и идентификатор объекта. Идентификатор объекта коррелирует с идентификатором приложения и является уникальным для вашего клиента.

  6. Вернитесь в поле поиска, введите Подписки и выберите соответствующую запись об услуге.

  7. Выберите подписку, к которой нужно добавить назначение роли.

  8. Выберите Управление доступом (IAM), затем выберите +Добавить, а затем Добавить назначение ролей.

  9. Выберите роль, которую вы хотите назначить учетной записи Виртуального рабочего стола Azure, а затем щелкните "Далее".

  10. Убедитесь, что Назначение доступа назначено пользователю, группе или сервисному принципалу Microsoft Entra, а затем выберите Выбрать участников.

  11. Введите имя программного обеспечения для предприятий, которое вы отметили ранее.

  12. Выберите соответствующую запись из результатов и нажмите кнопку "Выбрать". Если у вас есть две записи с одинаковым именем, выберите их обе.

  13. Просмотрите список участников в таблице. Если у вас есть две записи, удалите запись, которая не соответствует идентификатору объекта, который вы записали ранее.

  14. Нажмите кнопку "Далее", а затем нажмите кнопку "Проверить и назначить" , чтобы завершить назначение роли.

Назначение роли Microsoft Entra субъекту-службе Виртуального рабочего стола Azure

Чтобы назначить роль Microsoft Entra субъекту-службе Виртуального рабочего стола Azure, выберите соответствующую вкладку для вашего сценария и выполните действия. В этих примерах область назначения роли — это подписка Azure, но необходимо использовать область и роль, необходимую для каждой функции.

Вот как назначить роль Microsoft Entra объекту службы Виртуального рабочего стола Azure в рамках клиента с помощью портала Azure.

  1. Войдите на портал Azure.

  2. В поле поиска введите идентификатор Microsoft Entra и выберите соответствующую запись службы.

  3. Выберите элемент Роли и администраторы.

  4. Найдите и выберите имя роли, которую вы хотите назначить. Если вы хотите назначить пользовательскую роль, см. статью "Создание настраиваемой роли ", чтобы сначала создать ее.

  5. Щелкните Добавить назначения.

  6. В поле поиска введите идентификатор приложения для основного сервисного элемента, который вы хотите назначить из предыдущей таблицы, например 9cdead84-a844-4324-93f2-b2e6bb768d07.

  7. Установите флажок рядом с соответствующей записью, а затем нажмите кнопку "Добавить ", чтобы завершить назначение роли.

Следующие шаги

Дополнительные сведения о встроенных ролях Azure RBAC для Azure Virtual Desktop.