Назначение ролей Azure RBAC или ролей Microsoft Entra субъекту-службе Виртуального рабочего стола Azure

Статья
10/23/2024

Для нескольких функций виртуального рабочего стола Azure требуется назначить роли управления доступом на основе ролей Azure (Azure RBAC) или роли Microsoft Entra одному из субъектов-служб Виртуального рабочего стола Azure. К функциям, которым требуется назначить роль субъекту-службе Виртуального рабочего стола Azure, относятся:

Подключение приложения (при использовании Файлы Azure и узлов сеансов, присоединенных к идентификатору Microsoft Entra).
Автомасштабирование.
Обновление узла сеанса
Запустите виртуальную машину в Connect.

Совет

Вы можете найти, какую роль или роли необходимо назначить субъекту-службе в статье для каждой функции. Список всех доступных ролей Azure RBAC, созданных специально для виртуального рабочего стола Azure, см. в статье "Встроенные роли Azure RBAC" для виртуального рабочего стола Azure. Дополнительные сведения о Azure RBAC см . в документации по Azure RBAC или ролях Microsoft Entra, см . в документации по ролям Microsoft Entra.

В зависимости от того, когда вы зарегистрировали поставщика ресурсов Microsoft.DesktopVirtualization, имена субъектов-служб начинаются с виртуального рабочего стола Azure или виртуального рабочего стола Windows. Кроме того, если вы ранее использовали классический виртуальный рабочий стол Azure и Виртуальный рабочий стол Azure (Azure Resource Manager), вы увидите приложения с одинаковым именем. Вы можете убедиться, что вы назначаете роли правильному субъекту-службе, проверив его идентификатор приложения. Идентификатор приложения для каждого субъекта-службы находится в следующей таблице:

Субъект-служба	Application ID
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

В этой статье показано, как назначить роли Azure RBAC или роли Microsoft Entra правильным субъектам службы Виртуального рабочего стола Azure с помощью портал Azure, Azure CLI или Azure PowerShell.

Необходимые компоненты

Прежде чем назначить роль субъекту-службе Виртуального рабочего стола Azure, необходимо выполнить следующие предварительные требования:

Чтобы назначить роли Azure RBAC, необходимо иметь Microsoft.Authorization/roleAssignments/write разрешение на подписку Azure, чтобы назначить роли в этой подписке. Это разрешение является частью встроенных ролей владельца или администратора доступа пользователей.
Чтобы назначить роли Microsoft Entra, необходимо иметь роль администратора привилегированных ролей или глобального администратора .
Если вы хотите использовать Azure PowerShell или Azure CLI локально, ознакомьтесь с помощью Azure CLI и Azure PowerShell с виртуальным рабочим столом Azure, чтобы убедиться, что установлен модуль PowerShell Az.DesktopVirtualization Или расширение Azure CLI для настольных компьютеров. Кроме того, используйте Azure Cloud Shell.

Назначение роли Azure RBAC субъекту-службе Виртуального рабочего стола Azure

Чтобы назначить роль Azure RBAC субъекту-службе Виртуального рабочего стола Azure, выберите соответствующую вкладку для вашего сценария и выполните действия. В этих примерах область назначения роли — это подписка Azure, но необходимо использовать область и роль, необходимую для каждой функции.

Вот как назначить роль Azure RBAC субъекту-службе Виртуального рабочего стола Azure, заданной в подписке с помощью портал Azure.

Войдите на портал Azure.
В поле поиска введите идентификатор Microsoft Entra и выберите соответствующую запись службы.
На странице обзора в поле поиска клиента введите идентификатор приложения для субъекта-службы, назначаемого из предыдущей таблицы.
В результатах выберите соответствующее корпоративное приложение для субъекта-службы, который вы хотите назначить, начиная с виртуального рабочего стола Azure или виртуального рабочего стола Windows.
В разделе свойств запишите имя и идентификатор объекта. Идентификатор объекта коррелирует с идентификатором приложения и является уникальным для вашего клиента.
Вернитесь в поле поиска, введите подписки и выберите соответствующую запись службы.
Выберите подписку, к которой нужно добавить назначение роли.
Выберите элемент управления доступом (IAM), а затем нажмите кнопку +Добавить, а затем добавьте назначение ролей.
Выберите роль, которую вы хотите назначить субъекту-службе Виртуального рабочего стола Azure, а затем нажмите кнопку "Далее".
Убедитесь, что для назначения доступа задано значение пользователя, группы или субъекта-службы Microsoft Entra, а затем выберите " Выбрать участников".
Введите имя корпоративного приложения, которое вы записали ранее.
Выберите соответствующую запись из результатов и нажмите кнопку "Выбрать". Если у вас есть две записи с одинаковым именем, выберите их оба.
Просмотрите список элементов в таблице. Если у вас есть две записи, удалите запись, которая не соответствует идентификатору объекта, который вы записали ранее.
Нажмите кнопку "Далее", а затем нажмите кнопку "Проверить и назначить" , чтобы завершить назначение роли.

Вот как назначить роль Azure RBAC субъекту-службе Виртуального рабочего стола Azure, ограниченной подпиской с помощью модуля PowerShell Az.DesktopVirtualization .

Откройте Azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.
- Если вы используете Cloud Shell, убедитесь, что контекст Azure установлен в подписке, которую вы хотите использовать.
- Если вы используете PowerShell локально, сначала войдите в Azure PowerShell, а затем убедитесь , что контекст Azure установлен в подписке, которую вы хотите использовать.

Найдите идентификатор подписки, к которой вы хотите добавить назначение ролей, перечислив все доступные вам с помощью следующей команды:
```
Get-AzSubscription
```
Сохраните идентификатор подписки в переменной, выполнив следующую команду, заменив идентификатор подписки в этом примере собственным:
```
$subId = "<SubscriptionID>"
```

Назначьте роль субъекту-службе Виртуального рабочего стола Azure, выполнив следующую команду, заменив значение параметра RoleDefinitionName именем роли, которую необходимо назначить, и ApplicationId параметр с идентификатором приложения субъекта-службы, который вы хотите назначить из предыдущей таблицы. В этом примере роль участника Power Off для виртуализации рабочего стола назначается субъекту-службе Виртуального рабочего стола Azure в подписке:

$parameters = @{
    RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
    ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
    Scope = "/subscriptions/$subId"
}

New-AzRoleAssignment @parameters

Выходные данные должны быть похожи на следующий пример:

RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName        : Azure Virtual Desktop
SignInName         : 
RoleDefinitionName : Desktop Virtualization Power On Off Contributor
RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : ServicePrincipal
CanDelegate        : False
Description        : 
ConditionVersion   : 
Condition          :

Вот как назначить роль Azure RBAC субъекту-службе Виртуального рабочего стола Azure, области действия подписки с помощью расширения desktopvirtualization для Azure CLI.

Откройте Azure Cloud Shell в портал Azure с типом терминала Bash или запустите Azure CLI на локальном устройстве.
- Если вы используете Cloud Shell, убедитесь, что контекст Azure установлен в подписке, которую вы хотите использовать.
- Если вы используете Azure CLI локально, сначала войдите в Azure CLI, а затем убедитесь , что контекст Azure установлен в подписке, которую вы хотите использовать.

Найдите идентификатор подписки, к которой вы хотите добавить назначение ролей, перечислив все доступные вам с помощью следующей команды:
```
az account list --output table
```
Сохраните значение SubscriptionId в переменной, выполнив следующую команду, заменив идентификатор подписки в этом примере собственным:
```
subId=00000000-0000-0000-0000-000000000000
```

Назначьте роль субъекту-службе Виртуального рабочего стола Azure, выполнив следующую команду, заменив значение параметра role именем роли, которую необходимо назначить, и assignee параметр с идентификатором приложения субъекта-службы, который вы хотите назначить из предыдущей таблицы. В этом примере роль участника Power Off для виртуализации рабочего стола назначается субъекту-службе Виртуального рабочего стола Azure в подписке:

az role assignment create \
    --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
    --role "Desktop Virtualization Power On Off Contributor" \
    --scope "/subscriptions/$subId"

Выходные данные должны быть похожи на следующий пример:

{
  "condition": null,
  "conditionVersion": null,
  "createdBy": null,
  "createdOn": "2023-06-22T13:50:22.978226+00:00",
  "delegatedManagedIdentityResourceId": null,
  "description": null,
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
  "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
  "principalId": "00000000-0000-0000-0000-000000000000",
  "principalType": "ServicePrincipal",
  "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
  "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
  "type": "Microsoft.Authorization/roleAssignments",
  "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
  "updatedOn": "2023-06-22T13:50:23.335229+00:00"
}

Назначение роли Microsoft Entra субъекту-службе Виртуального рабочего стола Azure

Чтобы назначить роль Microsoft Entra субъекту-службе Виртуального рабочего стола Azure, выберите соответствующую вкладку для вашего сценария и выполните действия. В этих примерах область назначения роли — это подписка Azure, но необходимо использовать область и роль, необходимую для каждой функции.

Вот как назначить роль Microsoft Entra субъекту-службе Виртуального рабочего стола Azure, заданной клиенту с помощью портал Azure.

Войдите на портал Azure.
В поле поиска введите идентификатор Microsoft Entra и выберите соответствующую запись службы.
Выберите элемент Роли и администраторы.
Найдите и выберите имя роли, которую вы хотите назначить. Если вы хотите назначить пользовательскую роль, см. статью "Создание настраиваемой роли ", чтобы сначала создать ее.
Щелкните Добавить назначения.
В поле поиска введите идентификатор приложения для субъекта-службы, который вы хотите назначить из предыдущей таблицы, например 9cdead84-a84-4324-93f2-b2e6bb768d07.
Установите флажок рядом с соответствующей записью, а затем нажмите кнопку "Добавить ", чтобы завершить назначение роли.

Следующие шаги

Дополнительные сведения о встроенных ролях Azure RBAC для виртуального рабочего стола Azure.

Поделиться через

Назначение ролей Azure RBAC или ролей Microsoft Entra субъекту-службе Виртуального рабочего стола Azure

Необходимые компоненты

Назначение роли Azure RBAC субъекту-службе Виртуального рабочего стола Azure

Назначение роли Microsoft Entra субъекту-службе Виртуального рабочего стола Azure

Следующие шаги

Обратная связь

Дополнительные ресурсы