Asignación de roles RBAC a las entidades de servicio de Azure Virtual Desktop

Varias características de Azure Virtual Desktop requieren asignar roles de control de acceso basado en roles de Azure (RBAC de Azure) a una de las entidades de servicio de Azure Virtual Desktop. Entre las características que necesita asignar un rol a una entidad de servicio de Azure Virtual Desktop se incluyen:

• Escalabilidad automática.
• Inicio de una máquina virtual en Connect.
• Conexión de aplicaciones (cuando use Azure Files y los hosts de sesión unidos a Microsoft Entra ID).

Sugerencia

Puede encontrar el rol que necesita asignar a la entidad de servicio del artículo para cada característica. Para obtener una lista de todos los roles disponibles específicamente para Azure Virtual Desktop, consulte Roles RBAC integrados de Azure para Azure Virtual Desktop Para más información sobre RBAC de Azure, consulte Documentación de Azure RBAC.

En función de cuándo registró el proveedor de recursos de Microsoft.DesktopVirtualization, los nombres de entidad de seguridad de servicio comienzan por Azure Virtual Desktop o Windows Virtual Desktop. Si ha usado tanto Azure Virtual Desktop Classic como Azure Virtual Desktop (Azure Resource Manager), verá aplicaciones con el mismo nombre. Puede asegurarse de que va a asignar roles a la entidad de servicio correcta comprobando el identificador de aplicación. El identificador de aplicación de cada entidad de servicio se encuentra en la siguiente tabla:

Entidad de servicio	Identificador de la aplicación
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

En este artículo se muestra cómo asignar un rol a las entidades de servicio de Azure Virtual Desktop correctas mediante Azure Portal, la CLI de Azure o Azure PowerShell.

Requisitos previos

Antes de poder asignar un rol a una entidad de servicio Azure Virtual Desktop, debe cumplir los siguientes requisitos previos:

• Debe tener el permiso Microsoft.Authorization/roleAssignments/writepara una suscripción de Azure con el fin de asignar roles en dicha suscripción. Este permiso forma parte de los roles incorporados Propietario o Administrador de acceso de usuario.

• Si quiere usar Azure PowerShell o la CLI de Azure localmente, consulte Uso de la CLI de Azure y Azure PowerShell con Azure Virtual Desktop para asegurarse de que tiene instalado el módulo de PowerShell Az.DesktopVirtualization o la extensión de la CLI de Azure desktopvirtualization. Como alternativa, puede usar Azure Cloud Shell.

Asignar un rol a una entidad de servicio de Azure Virtual Desktop

Para asignar un rol a una entidad de servicio de Azure Virtual Desktop, seleccione la pestaña relevante para su escenario y siga los pasos. En estos ejemplos, el ámbito de la asignación de funciones es una suscripción de Azure, pero tiene que utilizar el ámbito y la función requeridos por cada función.

Portal

A continuación se indica cómo asignar un rol a una entidad de servicio de Azure Virtual Desktop utilizando el Azure Portal.

1. Inicie sesión en Azure Portal.

2. En la barra de búsqueda, escriba Microsoft Entra ID y seleccione la entrada de servicio coincidente.

3. En la página Información general, en el cuadro de búsqueda Buscar en el inquilino, escriba el identificador de aplicación de la entidad de servicio que desea asignar desde la tabla anterior.

4. En los resultados, seleccione la aplicación empresarial coincidente para la entidad de servicio que quiere asignar, empezando por Azure Virtual Desktop o Windows Virtual Desktop.

5. En Propiedades, anote el nombre y el identificador de objeto. El ID del objeto está relacionado con el ID de la aplicación y es exclusivo de su inquilino.

6. En el cuadro de búsqueda, introduzca Suscripciones y seleccione la entrada de servicio correspondiente.

7. Seleccione la suscripción a la que desea agregar la asignación de funciones.

8. Seleccione Control de acceso (IAM), a continuación seleccione +Agregar seguido de Agregar asignación de funciones.

9. Seleccione el rol que desee asignar a la entidad de servicio Azure Virtual Desktop y, a continuación, seleccione Siguiente.

10. Asegúrese de que Asignar acceso a está configurado como Usuario, grupo o entidad principal de servicio de Microsoft Entra y, a continuación, seleccione Seleccionar miembros.

11. Escriba el nombre de la aplicación empresarial que anotó anteriormente.

12. Seleccione la entrada correspondiente de los resultados y seleccione Seleccionar. Si tiene dos entradas con el mismo nombre, seleccione ambas por ahora.

13. Revise la lista de miembros en la tabla. Si tiene dos entradas, elimine la entrada que no coincide con el ID de objeto que anotó anteriormente.

14. Seleccione Siguiente y, a continuación, seleccione Revisar + asignar para completar la asignación de roles.

Azure PowerShell

A continuación se muestra cómo asignar un rol a una entidad de servicio de Azure Virtual Desktop mediante el módulo Az.DesktopVirtualization módulo PowerShell. Asegúrese de cambiar los valores de <placeholder> por sus propios valores.

1. Abra Azure Cloud Shell en Azure Portal con el tipo de terminal PowerShell o ejecute PowerShell en el dispositivo local.

   • Si usa Cloud Shell, asegúrese de que el contexto de Azure esté establecido en la suscripción que desea usar.

   • Si usa PowerShell localmente, primero inicie sesión con Azure PowerShell y asegúrese de que el contexto de Azure esté establecido en la suscripción que desea usar.

2. Busque el ID de la suscripción a la que quiere añadir la asignación de roles listando todas las que están a su disposición con el siguiente comando:

   Get-AzSubscription
   

3. Almacene el ID de suscripción en una variable mediante la ejecución del siguiente comando, sustituyendo el ID de suscripción de este ejemplo por el suyo propio:

   $subId = "<SubscriptionID>"
   

4. Asigne el rol a una entidad de servicio de Azure Virtual Desktop ejecutando el siguiente comando, reemplazando el valor del parámetro RoleDefinitionName por el nombre del rol que necesita asignar y el parámetro ApplicationId con el identificador de aplicación de la entidad de servicio que desea asignar desde la tabla anterior. En este ejemplo se asigna el rol Colaborador de encendido/apagado de virtualización de escritorio a la entidad de servicio de Azure Virtual Desktop en la suscripción:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   La salida debe ser similar al ejemplo siguiente:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

CLI de Azure

A continuación se explica cómo asignar un rol a una entidad de servicio Azure Virtual Desktop mediante la extensión desktopvirtualization para la CLI de Azure.

1. Abra Azure Cloud Shell en Azure Portal con el tipo de terminal Bash o ejecute la CLI de Azure en el dispositivo local.

   • Si usa Cloud Shell, asegúrese de que el contexto de Azure esté establecido en la suscripción que desea usar.

   • Si usa la CLI de Azure localmente, primero inicie sesión con la CLI de Azure y asegúrese de que el contexto de Azure esté establecido en la suscripción que desea usar.

2. Busque el ID de la suscripción a la que quiere añadir la asignación de roles listando todas las que están a su disposición con el siguiente comando:

   az account list --output table
   

3. Almacene el valor de SubscriptionId en una variable mediante la ejecución del siguiente comando, en el que sustituirá el ID de suscripción de este ejemplo por el suyo propio:

   subId=00000000-0000-0000-0000-000000000000
   

4. Asigne el rol a una entidad de servicio de Azure Virtual Desktop ejecutando el siguiente comando, reemplazando el valor del parámetro role por el nombre del rol que necesita asignar y el parámetro assignee con el identificador de aplicación de la entidad de servicio que desea asignar desde la tabla anterior. En este ejemplo se asigna el rol Colaborador de encendido/apagado de virtualización de escritorio a la entidad de servicio de Azure Virtual Desktop en la suscripción:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   La salida debe ser similar al ejemplo siguiente:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Pasos siguientes

Más información sobre los roles integrados en Azure RBAC para Azure Virtual Desktop.