Asignación de roles RBAC a las entidades de servicio de Azure Virtual Desktop

Varias características de Azure Virtual Desktop requieren asignar roles de control de acceso basado en roles de Azure (RBAC de Azure) a una de las entidades de servicio de Azure Virtual Desktop. Entre las características que necesita asignar un rol a una entidad de servicio de Azure Virtual Desktop se incluyen:

• Escalabilidad automática.
• Inicie la máquina virtual en Conectar.
• Asociación de aplicaciones (cuando se usa Azure Files y los hosts de sesión unidos a Microsoft Entra ID).

Sugerencia

Puede encontrar el rol que necesita asignar a la entidad de servicio del artículo para cada característica. Para obtener una lista de todos los roles disponibles específicamente para Azure Virtual Desktop, consulte Roles RBAC de Azure integrados para Azure Virtual Desktop Para más información sobre RBAC de Azure, consulte la documentación de RBAC de Azure.

En función de cuándo registró el proveedor de recursos Microsoft.DesktopVirtualization, los nombres de entidad de seguridad de servicio comienzan por Azure Virtual Desktop o Windows Virtual Desktop. Si ha usado Tanto Azure Virtual Desktop clásico como Azure Virtual Desktop (Azure Resource Manager), verá aplicaciones con el mismo nombre. Puede asegurarse de que va a asignar roles a la entidad de servicio correcta comprobando su identificador de aplicación. El identificador de aplicación de cada entidad de servicio se encuentra en la tabla siguiente:

Entidad de servicio	Identificador de aplicación
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

En este artículo se muestra cómo asignar un rol a las entidades de servicio de Azure Virtual Desktop correctas mediante Azure Portal, la CLI de Azure o Azure PowerShell.

Requisitos previos

Para poder asignar un rol a una entidad de servicio de Azure Virtual Desktop, debe cumplir los siguientes requisitos previos:

• Debe tener el permiso Microsoft.Authorization/roleAssignments/writepara una suscripción de Azure con el fin de asignar roles en dicha suscripción. Este permiso forma parte de los roles incorporados Propietario o Administrador de acceso de usuario.

• Si quiere usar Azure PowerShell o la CLI de Azure localmente, consulte Uso de la CLI de Azure y Azure PowerShell con Azure Virtual Desktop para asegurarse de que tiene instalado el módulo Az.DesktopVirtualization de PowerShell o la extensión de la CLI de Azure de escritorio. Como alternativa, puede usar Azure Cloud Shell.

Asignación de un rol a una entidad de servicio de Azure Virtual Desktop

Para asignar un rol a una entidad de servicio de Azure Virtual Desktop, seleccione la pestaña correspondiente para su escenario y siga los pasos. En estos ejemplos, el ámbito de la asignación de roles es una suscripción de Azure, pero debe usar el ámbito y el rol requerido por cada característica.

Portal

Aquí se muestra cómo asignar un rol a una entidad de servicio de Azure Virtual Desktop mediante Azure Portal.

1. Inicie sesión en Azure Portal.

2. En la barra de búsqueda, escriba Microsoft Entra ID y seleccione la entrada de servicio coincidente.

3. En la página Información general, en el cuadro de búsqueda de Buscar en el inquilino, escriba el identificador de aplicación de la entidad de servicio que desea asignar desde la tabla anterior.

4. En los resultados, seleccione la aplicación empresarial coincidente para la entidad de servicio que quiere asignar, iniciando Azure Virtual Desktop o Windows Virtual Desktop.

5. En Propiedades, anote el nombre y el identificador de objeto. El ID del objeto está relacionado con el ID de la aplicación y es exclusivo de su inquilino.

6. En el cuadro de búsqueda, introduzca Suscripciones y seleccione la entrada de servicio correspondiente.

7. Seleccione la suscripción a la que desea agregar la asignación de funciones.

8. Seleccione Control de acceso (IAM), a continuación seleccione +Agregar seguido de Agregar asignación de funciones.

9. Seleccione el rol que desee asignar a la entidad de servicio Azure Virtual Desktop y, a continuación, seleccione Siguiente.

10. Asegúrese de que Asignar acceso a está configurado como Usuario, grupo o entidad principal de servicio de Microsoft Entra y, a continuación, seleccione Seleccionar miembros.

11. Escriba el nombre de la aplicación empresarial que anotó anteriormente.

12. Seleccione la entrada correspondiente de los resultados y seleccione Seleccionar. Si tiene dos entradas con el mismo nombre, selecciónelas por ahora.

13. Revise la lista de miembros en la tabla. Si tiene dos entradas, elimine la entrada que no coincide con el ID de objeto que anotó anteriormente.

14. Seleccione Siguiente y, a continuación, seleccione Revisar + asignar para completar la asignación de roles.

Azure PowerShell

Aquí se muestra cómo asignar un rol a una entidad de servicio de Azure Virtual Desktop mediante el módulo Az.DesktopVirtualization de PowerShell.

1. Inicie Azure Cloud Shell en el Azure Portal con el tipo de terminal PowerShell o ejecute PowerShell en el dispositivo local.

   1. Si usa Cloud Shell, asegúrese de que el contexto de Azure esté establecido en la suscripción que desea usar.

   2. Si usa la CLI de Azure localmente, primero Inicie sesión con PowerShell de Azure y asegúrese de que el contexto de Azure esté establecido en la suscripción que desea usar.

2. Busque el ID de la suscripción a la que quiere añadir la asignación de roles listando todas las que están a su disposición con el siguiente comando:

   Get-AzSubscription
   

3. Almacene el ID de suscripción en una variable mediante la ejecución del siguiente comando, sustituyendo el ID de suscripción de este ejemplo por el suyo propio:

   $subId = "00000000-0000-0000-0000-000000000000"
   

4. Asigne el rol a una entidad de servicio de Azure Virtual Desktop ejecutando el comando siguiente, reemplazando el valor RoleDefinitionName del parámetro por el nombre del rol que necesita asignar y el parámetro con el ApplicationId identificador de aplicación de la entidad de servicio que desea asignar desde la tabla anterior. En este ejemplo se asigna el rol Colaborador de Power On Off de Virtualización de escritorio a la entidad de servicio de Azure Virtual Desktop en la suscripción:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   La salida debe ser similar al ejemplo siguiente:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

CLI de Azure

Aquí se muestra cómo asignar un rol a una entidad de servicio de Azure Virtual Desktop mediante la extensión desktopvirtualization para la CLI de Azure.

1. Inicie Azure Cloud Shell en el Azure Portal con el tipo de terminal Bash o ejecute la CLI de Azure en el dispositivo local.

   1. Si usa Cloud Shell, asegúrese de que el contexto de Azure esté establecido en la suscripción que desea usar.

   2. Si usa la CLI de Azure localmente, primero Inicie sesión con la CLI de Azure y asegúrese de que el contexto de Azure esté establecido en la suscripción que desea usar.

2. Busque el ID de la suscripción a la que quiere añadir la asignación de roles listando todas las que están a su disposición con el siguiente comando:

   az account list --output table
   

3. Almacene el valor de SubscriptionId en una variable mediante la ejecución del siguiente comando, en el que sustituirá el ID de suscripción de este ejemplo por el suyo propio:

   subId=00000000-0000-0000-0000-000000000000
   

4. Asigne el rol a una entidad de servicio de Azure Virtual Desktop ejecutando el comando siguiente, reemplazando el valor role del parámetro por el nombre del rol que necesita asignar y el parámetro con el assignee identificador de aplicación de la entidad de servicio que desea asignar desde la tabla anterior. En este ejemplo se asigna el rol Colaborador de Power On Off de Virtualización de escritorio a la entidad de servicio de Azure Virtual Desktop en la suscripción:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   La salida debe ser similar al ejemplo siguiente:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Pasos siguientes

Más información sobre los roles integrados en Azure RBAC para Azure Virtual Desktop.