Назначьте роли Azure RBAC или роли Microsoft Entra для принципалов служб Виртуального рабочего стола Azure

Статья
04/02/2025

Для нескольких функций виртуального рабочего стола Azure требуется назначить роли управления доступом на основе ролей Azure (Azure RBAC) или роли Microsoft Entra одному из субъектов-служб Виртуального рабочего стола Azure. Функции, для которых необходимо назначить роль служебному принципалу сервиса Виртуального рабочего стола Azure, включают:

Прикрепление приложения (при использовании Azure Files и узлов сеансов, присоединённых к Microsoft Entra ID).
Автомасштабирование.
Обновление хоста сеанса
Запустите виртуальную машину в Connect.

Совет

Вы можете найти, какую роль или роли необходимо назначить субъекту-службе в статье для каждой функции. Список всех доступных ролей Azure RBAC, созданных специально для виртуального рабочего стола Azure, см. в статье "Встроенные роли Azure RBAC" для виртуального рабочего стола Azure. Дополнительные сведения о Azure RBAC см. в документации по Azure RBAC или документацию по ролям Microsoft Entra, см. документации по ролям Microsoft Entra.

В зависимости от того, когда вы зарегистрировали поставщика ресурсов Microsoft.DesktopVirtualization, имена субъектов-служб начинаются с виртуального рабочего стола Azure или виртуального рабочего стола Windows. Кроме того, если вы ранее использовали классический виртуальный рабочий стол Azure и Виртуальный рабочий стол Azure (Azure Resource Manager), вы увидите приложения с одинаковым именем. Вы можете убедиться, что вы назначаете роли правильному служебному принципалу, проверив его идентификатор приложения. Идентификатор приложения для каждого субъекта-службы находится в следующей таблице:

Субъект-служба	Идентификатор приложения
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

В этой статье показано, как назначить роли Azure RBAC или роли Microsoft Entra соответствующим субъектам службы Виртуального рабочего стола Azure с помощью портала Azure, Azure CLI или Azure PowerShell.

Предварительные требования

Прежде чем назначить роль основному объекту службы Azure Virtual Desktop, необходимо выполнить следующие предварительные требования:

Чтобы назначать роли Azure RBAC, необходимо иметь Microsoft.Authorization/roleAssignments/write разрешение на подписку Azure для назначения ролей в этой подписке. Это разрешение является частью встроенных ролей владельца или администратора доступа пользователей.
Чтобы назначить роли Microsoft Entra, необходимо иметь администратора привилегированных ролей или эквивалент.
Если вы хотите использовать Azure PowerShell или Azure CLI локально, см. статью Использование Azure CLI и Azure PowerShell с виртуальным рабочим столом Azure, чтобы убедиться, что у вас установлен модуль PowerShell Az.DesktopVirtualization или расширение Azure CLI desktopvirtualization. Кроме того, используйте Azure Cloud Shell.

Назначение роли Azure RBAC сервисному принципалу Виртуального рабочего стола Azure

Чтобы назначить роль Azure RBAC субъекту-службе Виртуального рабочего стола Azure, выберите соответствующую вкладку для вашего сценария и выполните действия. В этих примерах область назначения роли — это подписка Azure, но необходимо использовать область и роль, необходимую для каждой функции.

Вот как назначить роль Azure RBAC служебному принципалу Виртуального рабочего стола Azure в пределах подписки, используя портал Azure.

Войдите на портал Azure.
В поле поиска введите идентификатор Microsoft Entra и выберите соответствующую запись службы.
На странице обзора в поле поиска клиента введите идентификатор приложения для субъекта-службы, назначаемого из предыдущей таблицы.
В результатах выберите соответствующее корпоративное приложение для субъекта-службы, который вы хотите назначить, начиная с виртуального рабочего стола Azure или виртуального рабочего стола Windows.
В разделе свойств запишите имя и идентификатор объекта. Идентификатор объекта коррелирует с идентификатором приложения и является уникальным для вашего клиента.
Вернитесь в поле поиска, введите Подписки и выберите соответствующую запись об услуге.
Выберите подписку, к которой нужно добавить назначение роли.
Выберите Управление доступом (IAM), затем выберите +Добавить, а затем Добавить назначение ролей.
Выберите роль, которую вы хотите назначить учетной записи Виртуального рабочего стола Azure, а затем щелкните "Далее".
Убедитесь, что Назначение доступа назначено пользователю, группе или сервисному принципалу Microsoft Entra, а затем выберите Выбрать участников.
Введите имя программного обеспечения для предприятий, которое вы отметили ранее.
Выберите соответствующую запись из результатов и нажмите кнопку "Выбрать". Если у вас есть две записи с одинаковым именем, выберите их обе.
Просмотрите список участников в таблице. Если у вас есть две записи, удалите запись, которая не соответствует идентификатору объекта, который вы записали ранее.
Нажмите кнопку "Далее", а затем нажмите кнопку "Проверить и назначить" , чтобы завершить назначение роли.

Вот как назначить роль Azure RBAC сервисному принципалу Azure Virtual Desktop с областью действия, установленной на уровне подписки, используя модуль PowerShell Az.DesktopVirtualization.

Откройте Azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.
- Если вы используете Cloud Shell, убедитесь, что контекст Azure установлен в подписке, которую вы хотите использовать.
- Если вы используете PowerShell локально, сначала войдите в Azure PowerShell, а затем убедитесь , что контекст Azure установлен в подписке, которую вы хотите использовать.

Найдите идентификатор подписки, к которой вы хотите добавить назначение ролей, перечислив все доступные вам с помощью следующей команды:
```
Get-AzSubscription
```
Сохраните идентификатор подписки в переменной, выполнив следующую команду, заменив идентификатор подписки в этом примере собственным:
```
$subId = "<SubscriptionID>"
```

Назначьте роль субъекту-службе Виртуального рабочего стола Azure, выполнив следующую команду, заменив значение параметра RoleDefinitionName именем роли, которую необходимо назначить, и ApplicationId параметр с идентификатором приложения субъекта-службы, который вы хотите назначить из предыдущей таблицы. В этом примере роль участника Power Off для виртуализации рабочего стола назначается субъекту-службе Виртуального рабочего стола Azure в подписке:

$parameters = @{
    RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
    ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
    Scope = "/subscriptions/$subId"
}

New-AzRoleAssignment @parameters

Выходные данные должны быть похожи на следующий пример:

RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName        : Azure Virtual Desktop
SignInName         : 
RoleDefinitionName : Desktop Virtualization Power On Off Contributor
RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : ServicePrincipal
CanDelegate        : False
Description        : 
ConditionVersion   : 
Condition          :

Вот как назначить роль Azure RBAC для основного объекта службы Виртуального рабочего стола Azure в пределах подписки, используя расширение desktopvirtualization для Azure CLI.

Откройте Azure Cloud Shell в портал Azure с типом терминала Bash или запустите Azure CLI на локальном устройстве.
- Если вы используете Cloud Shell, убедитесь, что контекст Azure установлен в подписке, которую вы хотите использовать.
- Если вы используете Azure CLI локально, сначала войдите в Azure CLI, а затем убедитесь , что контекст Azure установлен в подписке, которую вы хотите использовать.

Найдите идентификатор подписки, к которой вы хотите добавить назначение ролей, перечислив все доступные вам с помощью следующей команды:
```
az account list --output table
```
Сохраните значение SubscriptionId в переменной, выполнив следующую команду, заменив идентификатор подписки в этом примере собственным:
```
subId=00000000-0000-0000-0000-000000000000
```

Назначьте роль субъекту-службе Виртуального рабочего стола Azure, выполнив следующую команду, заменив значение параметра role именем роли, которую необходимо назначить, и assignee параметр с идентификатором приложения субъекта-службы, который вы хотите назначить из предыдущей таблицы. В этом примере роль Участника включения и выключения виртуализации рабочего стола назначается на служебный принципал Виртуального рабочего стола Azure в подписке:

az role assignment create \
    --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
    --role "Desktop Virtualization Power On Off Contributor" \
    --scope "/subscriptions/$subId"

Выходные данные должны быть похожи на следующий пример:

{
  "condition": null,
  "conditionVersion": null,
  "createdBy": null,
  "createdOn": "2023-06-22T13:50:22.978226+00:00",
  "delegatedManagedIdentityResourceId": null,
  "description": null,
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
  "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
  "principalId": "00000000-0000-0000-0000-000000000000",
  "principalType": "ServicePrincipal",
  "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
  "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
  "type": "Microsoft.Authorization/roleAssignments",
  "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
  "updatedOn": "2023-06-22T13:50:23.335229+00:00"
}

Назначение роли Microsoft Entra субъекту-службе Виртуального рабочего стола Azure

Чтобы назначить роль Microsoft Entra субъекту-службе Виртуального рабочего стола Azure, выберите соответствующую вкладку для вашего сценария и выполните действия. В этих примерах область назначения роли — это подписка Azure, но необходимо использовать область и роль, необходимую для каждой функции.

Вот как назначить роль Microsoft Entra объекту службы Виртуального рабочего стола Azure в рамках клиента с помощью портала Azure.

Войдите на портал Azure.
В поле поиска введите идентификатор Microsoft Entra и выберите соответствующую запись службы.
Выберите элемент Роли и администраторы.
Найдите и выберите имя роли, которую вы хотите назначить. Если вы хотите назначить пользовательскую роль, см. статью "Создание настраиваемой роли ", чтобы сначала создать ее.
Щелкните Добавить назначения.
В поле поиска введите идентификатор приложения для основного сервисного элемента, который вы хотите назначить из предыдущей таблицы, например 9cdead84-a844-4324-93f2-b2e6bb768d07.
Установите флажок рядом с соответствующей записью, а затем нажмите кнопку "Добавить ", чтобы завершить назначение роли.

Следующие шаги

Дополнительные сведения о встроенных ролях Azure RBAC для Azure Virtual Desktop.

Поделиться через

Назначьте роли Azure RBAC или роли Microsoft Entra для принципалов служб Виртуального рабочего стола Azure

Предварительные требования

Назначение роли Azure RBAC сервисному принципалу Виртуального рабочего стола Azure

Назначение роли Microsoft Entra субъекту-службе Виртуального рабочего стола Azure

Следующие шаги

Обратная связь

Дополнительные ресурсы