Přiřazení rolí RBAC instančním objektům služby Azure Virtual Desktop

Několik funkcí Služby Azure Virtual Desktop vyžaduje přiřazení rolí řízení přístupu na základě role (Azure RBAC) k jednomu z instančních objektů služby Azure Virtual Desktop. Mezi funkce, které potřebujete přiřadit roli instančnímu objektu služby Azure Virtual Desktop, patří:

• Automatické škálování:
• Spusťte virtuální počítač při připojení.
• Připojení aplikace (při použití služby Azure Files a hostitelů relací připojených k Microsoft Entra ID)

Tip

Můžete zjistit, jakou roli potřebujete přiřadit k jakému instančnímu objektu v článku pro každou funkci. Seznam všech dostupných rolí speciálně pro Azure Virtual Desktop najdete v tématu Předdefinované role Azure RBAC pro Azure Virtual Desktop . Další informace o Azure RBAC najdete v dokumentaci k Azure RBAC.

V závislosti na tom, kdy jste zaregistrovali poskytovatele prostředků Microsoft.DesktopVirtualization , začínají hlavní názvy služeb buď službou Azure Virtual Desktop , nebo Windows Virtual Desktop. Pokud jste použili Azure Virtual Desktop Classic i Azure Virtual Desktop (Azure Resource Manager), zobrazí se aplikace se stejným názvem. Zkontrolujte ID aplikace a ujistěte se, že přiřazujete role správnému instančnímu objektu. ID aplikace pro každý instanční objekt je v následující tabulce:

Instanční objekt	ID aplikace
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

V tomto článku se dozvíte, jak přiřadit roli správným instančním objektům služby Azure Virtual Desktop pomocí webu Azure Portal, Azure CLI nebo Azure PowerShellu.

Požadavky

Než budete moct přiřadit roli instančnímu objektu služby Azure Virtual Desktop, musíte splnit následující požadavky:

• Abyste mohli přiřadit role v daném předplatném, musíte mít Microsoft.Authorization/roleAssignments/write oprávnění k předplatnému Azure. Toto oprávnění je součástí předdefinovaných rolí Vlastník nebo Správce uživatelských přístupů.

• Pokud chcete použít Azure PowerShell nebo Azure CLI místně, přečtěte si téma Použití Azure CLI a Azure PowerShellu s Azure Virtual Desktopem a ujistěte se, že máte nainstalovaný modul Az.DesktopVirtualization PowerShell nebo rozšíření Azure CLI desktopvirtualizace . Alternativně použijte Azure Cloud Shell.

Přiřazení role instančnímu objektu služby Azure Virtual Desktop

Pokud chcete přiřadit roli instančnímu objektu služby Azure Virtual Desktop, vyberte příslušnou kartu pro váš scénář a postupujte podle kroků. V těchto příkladech je rozsah přiřazení role předplatným Azure, ale musíte použít obor a roli požadovanou jednotlivými funkcemi.

Azure Portal

Tady je postup, jak přiřadit roli instančnímu objektu služby Azure Virtual Desktop pomocí webu Azure Portal.

1. Přihlaste se k portálu Azure.

2. Do vyhledávacího pole zadejte ID Microsoft Entra a vyberte odpovídající položku služby.

3. Na stránce Přehled do vyhledávacího pole Prohledat tenanta zadejte ID aplikace instančního objektu, který chcete přiřadit z předchozí tabulky.

4. Ve výsledcích vyberte odpovídající podnikovou aplikaci pro instanční objekt, který chcete přiřadit, a spusťte Azure Virtual Desktop nebo Windows Virtual Desktop.

5. V části vlastnosti si poznamenejte název a ID objektu. ID objektu koreluje s ID aplikace a je jedinečné pro vašeho tenanta.

6. Do vyhledávacího pole zadejte Předplatná a vyberte odpovídající položku služby.

7. Vyberte předplatné, ke které chcete přidat přiřazení role.

8. Vyberte Řízení přístupu (IAM) a pak vyberte + Přidat následované přidáním přiřazení role.

9. Vyberte roli, kterou chcete přiřadit k instančnímu objektu služby Azure Virtual Desktop, a pak vyberte Další.

10. Ujistěte se, že je možnost Přiřadit přístup nastavená na uživatele, skupinu nebo instanční objekt microsoftu Entra, a pak vyberte Vybrat členy.

11. Zadejte název podnikové aplikace, kterou jste si poznamenali dříve.

12. Ve výsledcích vyberte odpovídající položku a pak vyberte Vybrat. Pokud máte dvě položky se stejným názvem, vyberte je prozatím oba.

13. Zkontrolujte seznam členů v tabulce. Pokud máte dvě položky, odeberte položku, která neodpovídá ID objektu, které jste si poznamenali dříve.

14. Vyberte Další a pak vyberte Zkontrolovat a přiřadit , abyste dokončili přiřazení role.

Azure PowerShell

Tady je postup přiřazení role instančnímu objektu služby Azure Virtual Desktop pomocí modulu Az.DesktopVirtualization PowerShellu. Nezapomeňte změnit <placeholder> hodnoty pro vlastní.

1. Otevřete Azure Cloud Shell na webu Azure Portal s typem terminálu PowerShellu nebo spusťte PowerShell na místním zařízení.

   • Pokud používáte Cloud Shell, ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.

   • Pokud používáte PowerShell místně, nejprve se přihlaste pomocí Azure PowerShellu a ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.

2. Pomocí následujícího příkazu vyhledejte ID předplatného, ke kterému chcete přidat přiřazení role:

   Get-AzSubscription
   

3. Uložte ID předplatného do proměnné spuštěním následujícího příkazu a nahraďte ID předplatného v tomto příkladu vlastními:

   $subId = "<SubscriptionID>"
   

4. Přiřaďte roli instančnímu objektu služby Azure Virtual Desktop spuštěním následujícího příkazu, přičemž hodnotu RoleDefinitionName parametru nahraďte názvem role, kterou potřebujete přiřadit, a ApplicationId parametr s ID aplikace instančního objektu, který chcete přiřadit z předchozí tabulky. Tento příklad přiřadí roli Přispěvatel Power On Off Virtualizace desktopové plochy instančnímu objektu služby Azure Virtual Desktop v předplatném:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   Výstup by se měl podobat následujícímu příkladu:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure CLI

Tady je postup, jak přiřadit roli instančnímu objektu služby Azure Virtual Desktop pomocí rozšíření desktopvirtualization pro Azure CLI.

1. Otevřete Azure Cloud Shell na webu Azure Portal s typem terminálu Bash nebo spusťte Azure CLI na místním zařízení.

   • Pokud používáte Cloud Shell, ujistěte se, že je váš kontext Azure nastavený na předplatné, které chcete použít.

   • Pokud používáte Azure CLI místně, nejprve se přihlaste pomocí Azure CLI a pak se ujistěte, že je váš kontext Azure nastavený na předplatné, které chcete použít.

2. Pomocí následujícího příkazu vyhledejte ID předplatného, ke kterému chcete přidat přiřazení role:

   az account list --output table
   

3. Uložte hodnotu SubscriptionId do proměnné spuštěním následujícího příkazu a nahraďte ID předplatného v tomto příkladu vlastními:

   subId=00000000-0000-0000-0000-000000000000
   

4. Přiřaďte roli instančnímu objektu služby Azure Virtual Desktop spuštěním následujícího příkazu, přičemž hodnotu role parametru nahraďte názvem role, kterou potřebujete přiřadit, a assignee parametr s ID aplikace instančního objektu, který chcete přiřadit z předchozí tabulky. Tento příklad přiřadí roli Přispěvatel Power On Off Virtualizace desktopové plochy instančnímu objektu služby Azure Virtual Desktop v předplatném:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   Výstup by se měl podobat následujícímu příkladu:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Další kroky

Přečtěte si další informace o předdefinovaných rolích Azure RBAC pro Azure Virtual Desktop.