Attribuer des rôles RBAC Azure ou des rôles Microsoft Entra aux principaux de service Azure Virtual Desktop

Plusieurs fonctionnalités Azure Virtual Desktop vous obligent à attribuer des rôles de contrôle d’accès en fonction du rôle Azure (Azure RBAC) ou des rôles Microsoft Entra à l’un des principaux de service Azure Virtual Desktop. Les fonctionnalités dont vous avez besoin pour attribuer un rôle à un principal de service Azure Virtual Desktop sont les suivantes :

• App Attach (lors de l’utilisation de Azure Files et de vos hôtes de session joints à Microsoft Entra ID).
• Mise à l’échelle automatique.
• Mise à jour de l’hôte de session
• Démarrez la machine virtuelle lors de la connexion.

Conseil

Vous trouverez le ou les rôles que vous devez attribuer à quel principal de service dans l’article pour chaque fonctionnalité. Pour obtenir la liste de tous les rôles RBAC Azure disponibles créés spécifiquement pour Azure Virtual Desktop, consultez Rôles RBAC Azure intégrés pour Azure Virtual Desktop. Pour en savoir plus sur les rôles Microsoft Entra, consultez Microsoft Entra documentation sur les rôles.

Selon le moment où vous avez inscrit le fournisseur de ressources Microsoft.DesktopVirtualization , les noms de principal de service commencent par Azure Virtual Desktop ou Windows Virtual Desktop. En outre, si vous avez déjà utilisé Azure Virtual Desktop classic et Azure Virtual Desktop (Azure Resource Manager), vous voyez des applications portant le même nom. Vous pouvez vérifier que vous attribuez des rôles au principal de service approprié en vérifiant son ID d’application. L’ID d’application de chaque principal de service se trouve dans le tableau suivant :

Principal de service	ID de l’application
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

Cet article explique comment attribuer des rôles RBAC Azure ou des rôles Microsoft Entra aux principaux de service Azure Virtual Desktop appropriés à l’aide de l’Portail Azure, d’Azure CLI ou d’Azure PowerShell.

Configuration requise

Avant de pouvoir attribuer un rôle à un principal de service Azure Virtual Desktop, vous devez remplir les conditions préalables suivantes :

• Pour attribuer des rôles RBAC Azure, vous devez disposer de l’autorisation Microsoft.Authorization/roleAssignments/write d’un abonnement Azure afin d’attribuer des rôles sur cet abonnement. Cette autorisation fait partie des rôles intégrés Propriétaire ou Administrateur de l’accès utilisateur .

• Pour attribuer des rôles Microsoft Entra, vous devez disposer de l’administrateur de rôle privilégié ou d’un équivalent.

• Si vous souhaitez utiliser Azure PowerShell ou Azure CLI localement, consultez Utiliser Azure CLI et Azure PowerShell avec Azure Virtual Desktop pour vous assurer que le module PowerShell Az.DesktopVirtualization ou l’extension Azure CLI desktopvirtualization est installé. Vous pouvez également utiliser l’Cloud Shell Azure.

Attribuer un rôle RBAC Azure à un principal de service Azure Virtual Desktop

Pour attribuer un rôle RBAC Azure à un principal de service Azure Virtual Desktop, sélectionnez l’onglet approprié pour votre scénario et suivez les étapes. Dans ces exemples, l’étendue de l’attribution de rôle est un abonnement Azure, mais vous devez utiliser l’étendue et le rôle requis par chaque fonctionnalité.

Portail Azure

Voici comment attribuer un rôle RBAC Azure à un principal de service Azure Virtual Desktop limité à un abonnement à l’aide de la Portail Azure.

1. Connectez-vous au Portail Azure.

2. Dans la zone de recherche, entrez Microsoft Entra ID et sélectionnez l’entrée de service correspondante.

3. Dans la page Vue d’ensemble, dans la zone de recherche Rechercher dans votre locataire, entrez l’ID d’application du principal de service que vous souhaitez attribuer à partir du tableau précédent.

4. Dans les résultats, sélectionnez l’application d’entreprise correspondante pour le principal de service que vous souhaitez attribuer, en commençant par Azure Virtual Desktop ou Windows Virtual Desktop.

5. Sous propriétés, notez le nom et l’ID d’objet. L’ID d’objet est corrélé à l’ID d’application et est propre à votre locataire.

6. Retour à la zone de recherche, entrez Abonnements et sélectionnez l’entrée de service correspondante.

7. Sélectionnez l’abonnement auquel vous souhaitez ajouter l’attribution de rôle.

8. Sélectionnez Contrôle d’accès (IAM), puis + Ajouter , puis Ajouter une attribution de rôle.

9. Sélectionnez le rôle que vous souhaitez attribuer au principal du service Azure Virtual Desktop, puis sélectionnez Suivant.

10. Vérifiez que l’option Attribuer l’accès à est définie sur Microsoft Entra utilisateur, groupe ou principal de service, puis sélectionnez Sélectionner les membres.

11. Entrez le nom de l’application d’entreprise que vous avez notée précédemment.

12. Sélectionnez l’entrée correspondante dans les résultats, puis sélectionnez Sélectionner. Si vous avez deux entrées portant le même nom, sélectionnez-les toutes les deux pour l’instant.

13. Passez en revue la liste des membres de la table. Si vous avez deux entrées, supprimez l’entrée qui ne correspond pas à l’ID d’objet que vous avez noté précédemment.

14. Sélectionnez Suivant, puis Vérifier + attribuer pour terminer l’attribution de rôle.

Azure PowerShell

Voici comment attribuer un rôle RBAC Azure à un principal de service Azure Virtual Desktop limité à un abonnement à l’aide du module PowerShell Az.DesktopVirtualization .

1. Ouvrez Azure Cloud Shell dans le Portail Azure avec le type de terminal PowerShell ou exécutez PowerShell sur votre appareil local.

   • Si vous utilisez Cloud Shell, vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

   • Si vous utilisez PowerShell localement, commencez par vous connecter avec Azure PowerShell, puis vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

2. Recherchez l’ID de l’abonnement auquel vous souhaitez ajouter l’attribution de rôle en répertoriant tous les éléments disponibles avec la commande suivante :

   Get-AzSubscription
   

3. Stockez l’ID d’abonnement dans une variable en exécutant la commande suivante, en remplaçant l’ID d’abonnement dans cet exemple par le vôtre :

   $subId = "<SubscriptionID>"
   

4. Attribuez le rôle à un principal de service Azure Virtual Desktop en exécutant la commande suivante, en remplaçant la valeur du RoleDefinitionName paramètre par le nom du rôle que vous devez attribuer, et le paramètre avec l’ID ApplicationId d’application du principal de service que vous souhaitez attribuer à partir de la table précédente. Cet exemple attribue le rôle Contributeur de mise hors tension de la virtualisation de bureau au principal du service Azure Virtual Desktop sur l’abonnement :

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   Votre sortie doit ressembler à l’exemple suivant :

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure CLI

Voici comment attribuer un rôle RBAC Azure à un principal de service Azure Virtual Desktop étendu à un abonnement à l’aide de l’extension desktopvirtualization pour Azure CLI.

1. Ouvrez Azure Cloud Shell dans le Portail Azure avec le type de terminal Bash, ou exécutez Azure CLI sur votre appareil local.

   • Si vous utilisez Cloud Shell, vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

   • Si vous utilisez Azure CLI localement, commencez par vous connecter avec Azure CLI, puis vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

2. Recherchez l’ID de l’abonnement auquel vous souhaitez ajouter l’attribution de rôle en répertoriant tous les éléments disponibles avec la commande suivante :

   az account list --output table
   

3. Stockez la valeur de SubscriptionId dans une variable en exécutant la commande suivante, en remplaçant l’ID d’abonnement dans cet exemple par le vôtre :

   subId=00000000-0000-0000-0000-000000000000
   

4. Attribuez le rôle à un principal de service Azure Virtual Desktop en exécutant la commande suivante, en remplaçant la valeur du role paramètre par le nom du rôle que vous devez attribuer, et le paramètre avec l’ID assignee d’application du principal de service que vous souhaitez attribuer à partir de la table précédente. Cet exemple attribue le rôle Contributeur de mise hors tension de la virtualisation de bureau au principal du service Azure Virtual Desktop sur l’abonnement :

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   Votre sortie doit ressembler à l’exemple suivant :

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Attribuer un rôle Microsoft Entra à un principal de service Azure Virtual Desktop

Pour attribuer un rôle Microsoft Entra à un principal de service Azure Virtual Desktop, sélectionnez l’onglet approprié pour votre scénario et suivez les étapes. Dans ces exemples, l’étendue de l’attribution de rôle est un abonnement Azure, mais vous devez utiliser l’étendue et le rôle requis par chaque fonctionnalité.

Voici comment attribuer un rôle de Microsoft Entra à un principal de service Azure Virtual Desktop étendu à un locataire à l’aide de la Portail Azure.

1. Connectez-vous au Portail Azure.

2. Dans la zone de recherche, entrez Microsoft Entra ID et sélectionnez l’entrée de service correspondante.

3. Sélectionnez Rôles et administrateurs.

4. Recherchez et sélectionnez le nom du rôle que vous souhaitez attribuer. Si vous souhaitez attribuer un rôle personnalisé, consultez Créer un rôle personnalisé pour le créer en premier.

5. Sélectionnez Ajouter des affectations.

6. Dans la zone de recherche, entrez l’ID d’application du principal de service que vous souhaitez affecter à partir de la table précédente, par exemple 9cdead84-a844-4324-93f2-b2e6bb768d07.

7. Cochez la case en regard de l’entrée correspondante, puis sélectionnez Ajouter pour terminer l’attribution de rôle.

Étapes suivantes

En savoir plus sur les rôles RBAC Azure intégrés pour Azure Virtual Desktop.