Zuweisen von RBAC-Rollen zu azure Virtual Desktop-Dienstprinzipale

Mehrere Azure Virtual Desktop-Features erfordern, dass Sie azure-rollenbasierte Zugriffssteuerungsrollen (Azure RBAC) einem der Azure Virtual Desktop-Dienstprinzipale zuweisen. Features, die Sie einem Azure Virtual Desktop-Dienstprinzipal zuweisen müssen, umfassen:

• Autoskalierung.
• Starten Sie den virtuellen Computer auf Verbinden.
• App Attach (bei Verwendung von Azure Files und Ihren Sitzungshosts, die mit Microsoft Entra-ID verknüpft sind).

Tipp

Sie finden die Rolle, die Sie zuweisen müssen, welcher Dienstprinzipal im Artikel für jedes Feature verwendet werden soll. Eine Liste aller verfügbaren Rollen speziell für Azure Virtual Desktop finden Sie in den integrierten Azure RBAC-Rollen für Azure Virtual Desktop . Weitere Informationen zu Azure RBAC finden Sie in der Azure RBAC-Dokumentation.

Je nachdem, wann Sie den Microsoft.DesktopVirtualization-Ressourcenanbieter registriert haben, beginnen die Dienstprinzipalnamen entweder mit Azure Virtual Desktop oder Windows Virtual Desktop. Wenn Sie sowohl Azure Virtual Desktop Classic als auch einen Azure Virtual Desktop (Azure Resource Manager) verwendet haben, werden Apps mit demselben Namen angezeigt. Sie können sicherstellen, dass Sie dem richtigen Dienstprinzipal Rollen zuweisen, indem Sie die Anwendungs-ID überprüfen. Die Anwendungs-ID für jeden Dienstprinzipal befindet sich in der folgenden Tabelle:

Dienstprinzipal	Anwendungs-ID
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

In diesem Artikel erfahren Sie, wie Sie den richtigen Azure Virtual Desktop-Dienstprinzipalen mithilfe der Azure-Portal, azure CLI oder Azure PowerShell eine Rolle zuweisen.

Voraussetzungen

Bevor Sie einem Azure Virtual Desktop-Dienstprinzipal eine Rolle zuweisen können, müssen Sie die folgenden Voraussetzungen erfüllen:

• Sie müssen über die Berechtigung Microsoft.Authorization/roleAssignments/write für ein Azure-Abonnement verfügen, um Rollen für dieses Abonnement zuzuweisen. Diese Berechtigung ist Teil der integrierten Rolle Besitzer oder Benutzerzugriffsadministrator.

• Wenn Sie Azure PowerShell oder Azure CLI lokal verwenden möchten, lesen Sie die Verwendung von Azure CLI und Azure PowerShell mit Azure Virtual Desktop, um sicherzustellen, dass Das PowerShell-Modul Az.DesktopVirtualization oder die Desktopvirtualisierung azure CLI-Erweiterung installiert ist. Stattdessen können Sie auch die Azure Cloud Shell verwenden.

Zuweisen einer Rolle zu einem Azure Virtual Desktop-Dienstprinzipal

Wenn Sie einem Azure Virtual Desktop-Dienstprinzipal eine Rolle zuweisen möchten, wählen Sie die relevante Registerkarte für Ihr Szenario aus, und führen Sie die Schritte aus. In diesen Beispielen ist der Umfang der Rollenzuweisung ein Azure-Abonnement, Sie müssen jedoch den Bereich und die rolle verwenden, die für jedes Feature erforderlich ist.

Portal

Hier erfahren Sie, wie Sie einem Azure Virtual Desktop-Dienstprinzipal mithilfe des Azure-Portal eine Rolle zuweisen.

1. Melden Sie sich beim Azure-Portal an.

2. Geben Sie im Suchfeld Microsoft Entra ID ein, und wählen Sie den entsprechenden Diensteintrag aus.

3. Geben Sie auf der Seite "Übersicht" im Suchfeld für "Ihren Mandanten suchen" die Anwendungs-ID für den Dienstprinzipal ein, den Sie aus der vorherigen Tabelle zuweisen möchten.

4. Wählen Sie in den Ergebnissen die entsprechende Unternehmensanwendung für den Dienstprinzipal aus, den Sie zuweisen möchten, beginnend mit Azure Virtual Desktop oder Windows Virtual Desktop.

5. Notieren Sie sich den unter Eigenschaften angegebenen Namen und die Objekt-ID. Die Objekt-ID korreliert mit der Anwendungs-ID und ist für Ihren Mandanten eindeutig.

6. Geben Sie im Suchfeld Abonnements ein, und wählen Sie den entsprechenden Diensteintrag aus.

7. Wählen Sie das Abonnement aus, dem Sie die Rollenzuweisung hinzufügen möchten.

8. Wählen Sie Zugriffssteuerung (IAM) und anschließend + Hinzufügen, gefolgt von Rollenzuweisung hinzufügen aus.

9. Wählen Sie die Rolle, die Sie dem Azure Virtual Desktop-Dienstprinzipal zuweisen möchten, und dann Weiter aus.

10. Stellen Sie sicher, dass Zugriff zuweisen zu auf Microsoft Entra-Benutzer*in, -Gruppe oder -Dienstprinzipal festgelegt ist, und wählen Sie dann Mitglieder auswählen aus.

11. Geben Sie den Namen der Unternehmensanwendung ein, die Sie zuvor notieren haben.

12. Wählen Sie den entsprechenden Eintrag aus den Ergebnissen und dann Auswählen aus. Wenn Sie zwei Einträge mit demselben Namen haben, wählen Sie beide für den Heutigen aus.

13. Überprüfen Sie die Liste der Mitglieder in der Tabelle. Wenn zwei Einträge vorhanden sind, entfernen Sie den Eintrag, der nicht mit der Objekt-ID übereinstimmt, die Sie sich zuvor notieren haben.

14. Wählen Sie Weiter und dann Überprüfen + zuweisen aus, um die Rollenzuweisung abzuschließen.

Azure PowerShell

Hier erfahren Sie, wie Sie einem Azure Virtual Desktop-Dienstprinzipal mithilfe des PowerShell-Moduls Az.DesktopVirtualization eine Rolle zuweisen.

1. Starten Sie Azure Cloud Shell im Microsoft Azure-Portal mit dem Terminaltyp PowerShell, oder führen Sie PowerShell auf Ihrem lokalen Gerät aus.

   1. Wenn Sie Cloud Shell verwenden, stellen Sie sicher, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

   2. Wenn Sie die PowerShell lokal verwenden, müssen Sie sich zunächst mit Microsoft Azure PowerShell anmelden und dann sicherstellen, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

2. Suchen Sie der ID des Abonnements, dem Sie die Rollenzuweisung hinzufügen möchten, indem Sie mit dem folgenden Befehl alle verfügbaren Abonnements auflisten:

   Get-AzSubscription
   

3. Speichern Sie die Abonnement-ID in einer Variablen, indem Sie den folgenden Befehl ausführen und die Abonnement-ID in diesem Beispiel durch Ihre eigene ersetzen:

   $subId = "00000000-0000-0000-0000-000000000000"
   

4. Weisen Sie die Rolle einem Azure Virtual Desktop-Dienstprinzipal zu, indem Sie den folgenden Befehl ausführen, indem Sie den Wert für den RoleDefinitionName Parameter durch den Namen der Rolle ersetzen, die Sie zuweisen müssen, und den ApplicationId Parameter mit der Anwendungs-ID des Dienstprinzipals, den Sie aus der früheren Tabelle zuweisen möchten. In diesem Beispiel wird die Rolle " Desktop Virtualization Power On Off Mitwirkender" dem Azure Virtual Desktop-Dienstprinzipal im Abonnement zugewiesen:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   Die Ausgabe sollte ungefähr wie im folgenden Beispiel aussehen:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure-Befehlszeilenschnittstelle

Hier erfahren Sie, wie Sie einem Azure Virtual Desktop-Dienstprinzipal eine Rolle mithilfe der Desktopvirtualisierungserweiterung für Azure CLI zuweisen.

1. Starten Sie Azure Cloud Shell im Microsoft Azure-Portal mit dem Terminaltyp Bash, oder führen Sie die Azure-Befehlszeilenschnittstelle auf Ihrem lokalen Gerät aus.

   1. Wenn Sie Cloud Shell verwenden, stellen Sie sicher, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

   2. Wenn Sie die Azure-Befehlszeilenschnittstelle lokal verwenden, müssen Sie sich zunächst mit der Azure-Befehlszeilenschnittstelle anmelden und dann sicherstellen, dass Ihr Azure-Kontext auf das Abonnement festgelegt ist, das Sie verwenden möchten.

2. Suchen Sie der ID des Abonnements, dem Sie die Rollenzuweisung hinzufügen möchten, indem Sie mit dem folgenden Befehl alle verfügbaren Abonnements auflisten:

   az account list --output table
   

3. Speichern Sie den Wert für SubscriptionId in einer Variablen, indem Sie den folgenden Befehl ausführen und die Abonnement-ID in diesem Beispiel durch Ihre eigene ersetzen:

   subId=00000000-0000-0000-0000-000000000000
   

4. Weisen Sie die Rolle einem Azure Virtual Desktop-Dienstprinzipal zu, indem Sie den folgenden Befehl ausführen, indem Sie den Wert für den role Parameter durch den Namen der Rolle ersetzen, die Sie zuweisen müssen, und den assignee Parameter mit der Anwendungs-ID des Dienstprinzipals, den Sie aus der früheren Tabelle zuweisen möchten. In diesem Beispiel wird die Rolle " Desktop Virtualization Power On Off Mitwirkender" dem Azure Virtual Desktop-Dienstprinzipal im Abonnement zugewiesen:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   Die Ausgabe sollte ungefähr wie im folgenden Beispiel aussehen:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Nächste Schritte

Erfahren Sie mehr über integrierte Azure RBAC-Rollen für Azure Virtual Desktop.