Назначение ролей RBAC субъекту-службе Виртуального рабочего стола Azure
Для нескольких функций Виртуального рабочего стола Azure требуется назначить роли управления доступом на основе ролей Azure (Azure RBAC) одному из субъектов-служб Виртуального рабочего стола Azure. К функциям, которым требуется назначить роль субъекту-службе Виртуального рабочего стола Azure, относятся:
- Автомасштабирование.
- Запустите виртуальную машину в Connect.
- Подключение приложения (при использовании Файлы Azure и узлов сеансов, присоединенных к идентификатору Microsoft Entra).
Совет
Вы можете найти, какую роль необходимо назначить субъекту-службе в статье для каждой функции. Список всех доступных ролей для виртуального рабочего стола Azure см. в статье "Встроенные роли Azure RBAC" для виртуального рабочего стола Azure, чтобы узнать больше о Azure RBAC, см . в документации по Azure RBAC.
В зависимости от того, когда вы зарегистрировали поставщика ресурсов Microsoft.DesktopVirtualization, имена субъектов-служб начинаются с виртуального рабочего стола Azure или виртуального рабочего стола Windows. Если вы использовали классический виртуальный рабочий стол Azure и виртуальный рабочий стол Azure (Azure Resource Manager), вы увидите приложения с одинаковым именем. Вы можете убедиться, что вы назначаете роли правильному субъекту-службе, проверив его идентификатор приложения. Идентификатор приложения для каждого субъекта-службы находится в следующей таблице:
| Субъект-служба | Идентификатор приложения |
|---|---|
| Виртуальный рабочий стол Azure Виртуальный рабочий стол Windows |
9cdead84-a844-4324-93f2-b2e6bb768d07 |
| Клиент Виртуального рабочего стола Azure Клиент виртуального рабочего стола Windows |
a85cf173-4192-42f8-81fa-777a763e6e2c |
| Поставщик ARM Виртуального рабочего стола Azure Поставщик ARM виртуального рабочего стола Windows |
50e95039-b200-4007-bc97-8d5790743a63 |
В этом уроке показано, как назначить роль правильным субъектам-службам Виртуального рабочего стола Azure с помощью портал Azure, Azure CLI или Azure PowerShell.
Необходимые компоненты
Прежде чем назначить роль субъекту-службе Виртуального рабочего стола Azure, необходимо выполнить следующие предварительные требования:
- Чтобы назначить роли в этой подписке, необходимо разрешение Microsoft.Authorization/roleAssignments/write в подписку Azure. Это разрешение является частью встроенных ролей владельца или администратора доступа пользователей.
- Если вы хотите использовать Azure PowerShell или Azure CLI локально, ознакомьтесь с помощью Azure CLI и Azure PowerShell с виртуальным рабочим столом Azure, чтобы убедиться, что установлен модуль PowerShell Az.DesktopVirtualization Или расширение Azure CLI для настольных компьютеров. Кроме того, используйте Azure Cloud Shell.
Назначение роли субъекту-службе Виртуального рабочего стола Azure
Чтобы назначить роль субъекту-службе Виртуального рабочего стола Azure, выберите соответствующую вкладку для вашего сценария и выполните действия. В этих примерах область назначения роли — это подписка Azure, но необходимо использовать область и роль, необходимую для каждой функции.
Вот как назначить роль субъекту-службе Виртуального рабочего стола Azure с помощью портал Azure.
- Войдите на портал Azure.
- В поле поиска введите идентификатор Microsoft Entra и выберите соответствующую запись службы.
- На странице обзора в поле поиска клиента введите идентификатор приложения для субъекта-службы, назначаемого из предыдущей таблицы.
- В результатах выберите соответствующее корпоративное приложение для субъекта-службы, который вы хотите назначить, начиная с виртуального рабочего стола Azure или виртуального рабочего стола Windows.
- В разделе свойств запишите имя и идентификатор объекта. Идентификатор объекта коррелирует с идентификатором приложения и является уникальным для вашего клиента.
- В поле поиска введите подписки и выберите соответствующую запись службы.
- Выберите подписку, к которой нужно добавить назначение роли.
- Выберите элемент управления доступом (IAM), а затем нажмите кнопку +Добавить, а затем добавьте назначение ролей.
- Выберите роль, которую вы хотите назначить субъекту-службе Виртуального рабочего стола Azure, а затем нажмите кнопку "Далее".
- Убедитесь, что для назначения доступа задано значение пользователя, группы или службы Microsoft Entra principal, а затем выберите " Выбрать участников".
- Введите имя корпоративного приложения, которое вы записали ранее.
- Выберите соответствующую запись из результатов и нажмите кнопку "Выбрать". Если у вас есть две записи с одинаковым именем, выберите их оба.
- Просмотрите список элементов в таблице. Если у вас есть две записи, удалите запись, которая не соответствует идентификатору объекта, который вы записали ранее.
- Нажмите кнопку "Далее", а затем нажмите кнопку "Проверить и назначить" , чтобы завершить назначение роли.