Attribuer des rôles RBAC à des principaux du service d’Azure Virtual Desktop

Plusieurs fonctionnalités d’Azure Virtual Desktop vous obligent à attribuer des rôles de contrôle d’accès en fonction du rôle Azure (RBAC Azure) à l’un des principaux du service d’Azure Virtual Desktop. Voici les fonctionnalités pour lesquelles vous devez attribuer un rôle au principal du service d’Azure Virtual Desktop :

• Mise à l’échelle automatique.
• Démarrez la machine virtuelle sur Connect.
• Attachement d’application (lorsque vous utilisez Azure Files et vos hôtes de session joints à Microsoft Entra ID).

Conseil

Vous trouverez le rôle que vous devez attribuer à un principal du service dans l’article correspondant à chaque fonctionnalité. Pour obtenir la liste de tous les rôles disponibles, notamment celui pour Azure Virtual Desktop, consultez Rôles RBAC Azure intégrés pour Azure Virtual Desktop Pour découvrir plus d’informations sur Azure RBAC, consultez la documentation Azure RBAC.

En fonction du moment où vous avez enregistré le fournisseur de ressource Microsoft.DesktopVirtualization, les noms du principal du service commencent par Azure Virtual Desktop ou Windows Virtual Desktop. Si vous avez utilisé Azure Virtual Desktop Classique et une instance Azure Virtual Desktop (Azure Resource Manager), vous voyez les applications portant le même nom. Vous pouvez veiller à attribuer des rôles au principal du service approprié en vérifiant son ID d’application. L’ID d’application de chaque principal du service se trouve dans la table suivante :

Principal du service	ID de l’application
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

Cet article vous explique comment attribuer un rôle aux principaux du service d’Azure Virtual Desktop appropriés en utilisant le Portail Azure, Azure CLI ou Azure PowerShell.

Prérequis

Avant de pouvoir attribuer un rôle à un principal du service d’Azure Virtual Desktop, vous devez respecter les conditions préalables suivantes :

• Vous devez avoir Microsoft.Authorization/roleAssignments/write l’autorisation d’accès à un abonnement Azure avant de pouvoir attribuer des rôles sur cet abonnement. Cette autorisation fait partie des rôles internes duPropriétaire ou de l’Administrateur de l’accès utilisateur.

• Si vous souhaitez utiliser Azure CLI ou Azure PowerShell en local, consultez Utiliser Azure CLI et Azure PowerShell avec Azure Virtual Desktop pour vérifier que vous disposez de l’extension Az.DesktopVirtualization de PowerShell ou du module desktopvirtualization d’Azure CLI installé. Vous pouvez également utiliser Azure Cloud Shell.

Attribuer un rôle à un principal du service d’Azure Virtual Desktop

Pour attribuer un rôle à un principal du service d’Azure Virtual Desktop, sélectionnez l’onglet approprié pour votre scénario et suivez les étapes. Dans ces exemples, l’étendue de l’attribution de rôle est un abonnement Azure, mais vous devez utiliser l’étendue et le rôle nécessaires pour chaque fonctionnalité.

Portail

Voici comment attribuer un rôle à un principal du service d’Azure Virtual Desktop en tirant parti du Portail Azure.

1. Connectez-vous au portail Azure.

2. Dans la zone de recherche, entrez Microsoft Entra ID, et sélectionnez l’entrée de service correspondante.

3. Sur la page Vue d’ensemble, dans la zone de recherche pour Rechercher votre locataire, entrez l’ID d’application pour le principal du service que vous souhaitez attribuer à partir de la table précédente.

4. Dans les résultats, sélectionnez l’application d’entreprise correspondante pour le principal du service que vous souhaitez attribuer, commençant par Azure Virtual Desktop ou Windows Virtual Desktop.

5. Sous propriétés, notez le nom et l’ID de l’objet. L’ID d’objet est lié à l’ID d’application et est propre à votre abonné.

6. Dans la zone de recherche, entrez Abonnements, ensuite sélectionnez l’entrée de service correspondante.

7. Sélectionnez l’abonnement auquel vous souhaitez ajouter l’attribution de rôle.

8. Choisissez Contrôle d’accès (IAM), ensuite sélectionnez + Ajouter suivi par Ajouter une attribution de rôle.

9. Sélectionnez le rôle que vous souhaitez attribuer au principal du service d’Azure Virtual Desktop, ensuite sélectionnez Suivant.

10. Vérifiez que Attribuer l’accès à est défini sur Utilisateur, groupe ou principal de service Microsoft Entra, puis sélectionnez Sélectionner des membres.

11. Entrez le nom de l’application d’entreprise que vous avez noté plus tôt.

12. Sélectionnez l’entrée correspondante dans les résultats, ensuite sélectionnez Sélectionner. Si vous avez deux entrées portant le même nom, sélectionnez les deux pour le moment.

13. Vérifiez la liste des membres dans le tableau. Si vous avez deux entrées, supprimez l’entrée qui ne correspond pas à l’ID d’objet que vous avez noté précédemment.

14. Sélectionnez Suivant , ensuite sélectionnez Vérifier + attribuer pour finaliser l’opération d’attribution de rôle.

Azure PowerShell

Voici comment attribuer un rôle à un principal du service d’Azure Virtual Desktop en tirant parti du module Az.DesktopVirtualization de PowerShell. Veillez à remplacer les valeurs <placeholder> par les vôtres.

1. Ouvrez Azure Cloud Shell sur le Portail Azure avec le type de terminal PowerShell ou exécutez PowerShell sur votre appareil local.

   • Si vous utilisez Cloud Shell, vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

   • Si vous utilisez PowerShell localement, commencez par vous connecter avec Azure PowerShell, puis vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

2. Recherchez l’ID de l’abonnement auquel vous souhaitez ajouter l’attribution de rôle en listant tout ce qui est disponible pour vous en utilisant la commande suivante :

   Get-AzSubscription
   

3. Stockez l’ID d’abonnement dans une variable en exécutant la commande suivante, remplacez l’ID d’abonnement dans cet exemple par le vôtre :

   $subId = "<SubscriptionID>"
   

4. Attribuez le rôle à un principal du service d’Azure Virtual Desktop en exécutant la commande suivante, remplacez la valeur du paramètre RoleDefinitionName par le nom du rôle que vous devez attribuer et le paramètre ApplicationId par l’ID d’application du principal du service que vous souhaitez attribuer à partir de la table précédente. Cet exemple attribue le rôle Contributeur de mise sous et hors tension de la virtualisation des services Bureau au principal du service Azure Virtual Desktop sur l’abonnement :

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   Votre sortie doit ressembler à celle de l’exemple suivant :

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure CLI

Voici comment attribuer un rôle à un principal du service d’Azure Virtual Desktop en utilisant l’extension desktopvirtualization pour Azure CLI.

1. Ouvrez Azure Cloud Shell sur le Portail Azure avec le type de terminal Bash ou exécutez Azure CLI sur votre appareil local.

   • Si vous utilisez Cloud Shell, vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

   • Si vous utilisez Azure CLI localement, commencez par vous connecter avec Azure CLI, puis vérifiez que votre contexte Azure est défini sur l’abonnement que vous souhaitez utiliser.

2. Recherchez le nom de l’abonnement auquel vous souhaitez ajouter l’attribution de rôle en listant tout ce qui est disponible pour vous en utilisant la commande suivante :

   az account list --output table
   

3. Stockez la valeur de SubscriptionId dans une variable en exécutant la commande suivante, remplacez l’ID d’abonnement dans cet exemple par le vôtre :

   subId=00000000-0000-0000-0000-000000000000
   

4. Attribuez le rôle à un principal du service d’Azure Virtual Desktop en exécutant la commande suivante, remplacez la valeur du paramètre role par le nom du rôle que vous devez attribuer et le paramètre assignee par l’ID d’application du principal du service que vous souhaitez attribuer à partir de la table précédente. Cet exemple attribue le rôle Contributeur de mise sous et hors tension de la virtualisation des services Bureau au principal du service Azure Virtual Desktop sur l’abonnement :

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   Votre sortie doit ressembler à celle de l’exemple suivant :

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Étapes suivantes

En savoir plus sur les rôles RBAC Azure intégrés pour Azure Virtual Desktop.