Назначение ролей Azure RBAC или Microsoft Entra ролей субъектам-службам Виртуального рабочего стола Azure

Для некоторых функций Виртуального рабочего стола Azure требуется назначить роли управления доступом на основе ролей Azure (Azure RBAC) или Microsoft Entra роли одному из субъектов-служб Виртуального рабочего стола Azure. Ниже приведены функции, необходимые для назначения роли субъекту-службе Виртуального рабочего стола Azure:

Подключение приложения (при использовании Файлы Azure и присоединении узлов сеансов к Microsoft Entra ID).
Автомасштабирование.
Обновление узла сеанса
Запустите виртуальную машину при подключении.

Совет

Вы можете узнать, какие роли или роли необходимо назначить субъекту-службе, в статье для каждого компонента. Список всех доступных ролей Azure RBAC, созданных специально для Виртуального рабочего стола Azure, см. в статье Встроенные роли Azure RBAC для Виртуального рабочего стола Azure. Дополнительные сведения о ролях Microsoft Entra см. в документации по Microsoft Entra ролям.

В зависимости от того, когда вы зарегистрировали поставщик ресурсов Microsoft.DesktopVirtualization , имена субъектов-служб начинаются с Виртуального рабочего стола Azure или Виртуального рабочего стола Windows. Кроме того, если ранее вы использовали классический Виртуальный рабочий стол Azure и Виртуальный рабочий стол Azure (Azure Resource Manager), вы увидите приложения с одинаковым именем. Вы можете убедиться, что назначаете роли правильному субъекту-службе, проверив его идентификатор приложения. Идентификатор приложения для каждого субъекта-службы приведен в следующей таблице:

Субъект-служба	Идентификатор приложения
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

В этой статье показано, как назначать роли Azure RBAC или роли Microsoft Entra правильным субъектам-службам Виртуального рабочего стола Azure с помощью портал Azure, Azure CLI или Azure PowerShell.

Предварительные условия

Прежде чем назначить роль субъекту-службе Виртуального рабочего стола Azure, необходимо выполнить следующие предварительные требования:

Чтобы назначить роли Azure RBAC, необходимо иметь Microsoft.Authorization/roleAssignments/write разрешение на подписку Azure, чтобы назначить роли в этой подписке. Это разрешение является частью встроенных ролей владельца или администратора доступа пользователей .
Чтобы назначить Microsoft Entra роли, необходимо иметь администратора привилегированных ролей или эквивалент.
Если вы хотите использовать Azure PowerShell или Azure CLI локально, см. статью Использование Azure CLI и Azure PowerShell с Виртуальным рабочим столом Azure, чтобы убедиться, что у вас установлен модуль PowerShell Az.DesktopVirtualization или расширение Azure CLI desktopvirtualization. Кроме того, используйте Cloud Shell Azure.

Назначение роли Azure RBAC субъекту-службе Виртуального рабочего стола Azure

Чтобы назначить роль Azure RBAC субъекту-службе Виртуального рабочего стола Azure, выберите соответствующую вкладку для своего сценария и выполните действия. В этих примерах область назначения роли — подписка Azure, но вам нужно использовать область и роль, необходимые для каждой функции.

Вот как назначить роль Azure RBAC субъекту-службе Виртуального рабочего стола Azure с областью действия подписки с помощью портал Azure.

Войдите на портал Azure.
В поле поиска введите Microsoft Entra ID и выберите соответствующую запись службы.
На странице Обзор в поле поиска поиск клиента введите идентификатор приложения для субъекта-службы, который вы хотите назначить из предыдущей таблицы.
В результатах выберите соответствующее корпоративное приложение для субъекта-службы, который вы хотите назначить, начиная с Виртуального рабочего стола Azure или Виртуального рабочего стола Windows.
В разделе свойства запишите имя и идентификатор объекта. Идентификатор объекта коррелирует с идентификатором приложения и уникален для вашего клиента.
Назад в поле поиска введите Подписки и выберите соответствующую запись службы.
Выберите подписку, в которую нужно добавить назначение ролей.
Выберите Управление доступом (IAM) и нажмите + Добавить , а затем — Добавить назначение ролей.
Выберите роль, которую нужно назначить субъекту-службе Виртуального рабочего стола Azure, а затем нажмите кнопку Далее.
Убедитесь, что для параметра Назначить доступ для задано значение Microsoft Entra пользователя, группы или субъекта-службы, а затем выберите Выбрать участников.
Введите имя корпоративного приложения, которое вы записали ранее.
Выберите соответствующую запись в результатах, а затем нажмите кнопку Выбрать. Если у вас есть две записи с одинаковым именем, выберите их оба.
Просмотрите список элементов в таблице. Если у вас две записи, удалите запись, которая не соответствует идентификатору объекта, который вы записали ранее.
Нажмите кнопку Далее, а затем выберите Проверить и назначить , чтобы завершить назначение роли.

Вот как назначить роль Azure RBAC субъекту-службе Виртуального рабочего стола Azure с областью действия подписки с помощью модуля PowerShell Az.DesktopVirtualization .

Откройте azure Cloud Shell в портал Azure с типом терминала PowerShell или запустите PowerShell на локальном устройстве.
- Если вы используете Cloud Shell, убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.
- Если вы используете PowerShell локально, сначала войдите с помощью Azure PowerShell, а затем убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

Найдите идентификатор подписки, в которую вы хотите добавить назначение ролей, со списком всех доступных вам с помощью следующей команды:
```
Get-AzSubscription
```
Сохраните идентификатор подписки в переменной, выполнив следующую команду, заменив идентификатор подписки в этом примере собственным:
```
$subId = "<SubscriptionID>"
```

Назначьте роль субъекту-службе Виртуального рабочего стола Azure, выполнив следующую команду, заменив значение RoleDefinitionName параметра именем роли, которую необходимо назначить, и ApplicationId параметром с идентификатором приложения субъекта-службы, который вы хотите назначить из предыдущей таблицы. В этом примере субъекту-службе "Виртуальный рабочий стол Azure" в подписке назначается роль Участника Power On Off для Виртуализации рабочих столов:

$parameters = @{
    RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
    ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
    Scope = "/subscriptions/$subId"
}

New-AzRoleAssignment @parameters

Выходные данные должны выглядеть примерно так:

RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName        : Azure Virtual Desktop
SignInName         : 
RoleDefinitionName : Desktop Virtualization Power On Off Contributor
RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : ServicePrincipal
CanDelegate        : False
Description        : 
ConditionVersion   : 
Condition          :

Вот как назначить роль Azure RBAC субъекту-службе Виртуального рабочего стола Azure с областью действия подписки с помощью расширения desktopvirtualization для Azure CLI.

Откройте azure Cloud Shell в портал Azure с типом терминала Bash или запустите Azure CLI на локальном устройстве.
- Если вы используете Cloud Shell, убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.
- Если вы используете Azure CLI локально, сначала войдите с помощью Azure CLI, а затем убедитесь, что для контекста Azure задана подписка, которую вы хотите использовать.

Найдите идентификатор подписки, в которую вы хотите добавить назначение ролей, со списком всех доступных вам с помощью следующей команды:
```
az account list --output table
```
Сохраните значение SubscriptionId в переменной, выполнив следующую команду, заменив идентификатор подписки в этом примере собственным:
```
subId=00000000-0000-0000-0000-000000000000
```

Назначьте роль субъекту-службе Виртуального рабочего стола Azure, выполнив следующую команду, заменив значение role параметра именем роли, которую необходимо назначить, и assignee параметром с идентификатором приложения субъекта-службы, который вы хотите назначить из предыдущей таблицы. В этом примере субъекту-службе "Виртуальный рабочий стол Azure" в подписке назначается роль Участника Power On Off для Виртуализации рабочих столов:

az role assignment create \
    --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
    --role "Desktop Virtualization Power On Off Contributor" \
    --scope "/subscriptions/$subId"

Выходные данные должны выглядеть примерно так:

{
  "condition": null,
  "conditionVersion": null,
  "createdBy": null,
  "createdOn": "2023-06-22T13:50:22.978226+00:00",
  "delegatedManagedIdentityResourceId": null,
  "description": null,
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
  "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
  "principalId": "00000000-0000-0000-0000-000000000000",
  "principalType": "ServicePrincipal",
  "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
  "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
  "type": "Microsoft.Authorization/roleAssignments",
  "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
  "updatedOn": "2023-06-22T13:50:23.335229+00:00"
}

Назначение роли Microsoft Entra субъекту-службе Виртуального рабочего стола Azure

Чтобы назначить роль Microsoft Entra субъекту-службе Виртуального рабочего стола Azure, выберите соответствующую вкладку для своего сценария и выполните действия. В этих примерах область назначения роли — подписка Azure, но вам нужно использовать область и роль, необходимые для каждой функции.

Вот как назначить роль Microsoft Entra субъекту-службе Виртуального рабочего стола Azure с областью действия для клиента с помощью портал Azure.

Войдите на портал Azure.
В поле поиска введите Microsoft Entra ID и выберите соответствующую запись службы.
Выберите Роли и администраторы.
Найдите и выберите имя роли, которую вы хотите назначить. Если вы хотите назначить настраиваемую роль, см. статью Создание настраиваемой роли , чтобы создать ее в первую очередь.
Выберите Добавить назначения.
В поле поиска введите идентификатор приложения для субъекта-службы, который вы хотите назначить из предыдущей таблицы, например 9cdead84-a844-4324-93f2-b2e6bb768d07.
Установите флажок рядом с соответствующей записью, а затем нажмите кнопку Добавить , чтобы завершить назначение роли.

Дальнейшие действия

Узнайте больше о встроенных ролях Azure RBAC для Виртуального рабочего стола Azure.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-06-20