Attribuer des rôles RBAC aux principaux du service Azure Virtual Desktop
Plusieurs fonctionnalités d’Azure Virtual Desktop vous obligent à attribuer des rôles de contrôle d’accès en fonction du rôle Azure (Azure RBAC) à l’un des principaux du service Azure Virtual Desktop. Les fonctionnalités dont vous avez besoin pour attribuer un rôle à un principal de service Azure Virtual Desktop sont les suivantes :
- Mise à l’échelle automatique.
- Démarrez la machine virtuelle sur Connecter.
- Attachement d’application (lors de l’utilisation d’Azure Files et de vos hôtes de session joints à l’ID Microsoft Entra).
Conseil
Vous trouverez le rôle à attribuer à quel principal de service dans l’article pour chaque fonctionnalité. Pour obtenir la liste de tous les rôles disponibles spécifiquement pour Azure Virtual Desktop, consultez la documentation Azure RBAC intégrée pour Azure Virtual Desktop pour en savoir plus sur azure RBAC.
Selon le moment où vous avez inscrit le fournisseur de ressources Microsoft.DesktopVirtualization , les noms des principaux de service commencent par Azure Virtual Desktop ou Windows Virtual Desktop. Si vous avez utilisé Azure Virtual Desktop Classic et Azure Virtual Desktop (Azure Resource Manager), vous voyez des applications portant le même nom. Vous pouvez vous assurer que vous affectez des rôles au principal de service approprié en case activée son ID d’application. L’ID d’application pour chaque principal de service se trouve dans le tableau suivant :
Principal du service | ID de l'application |
---|---|
Azure Virtual Desktop Windows Virtual Desktop |
9cdead84-a844-4324-93f2-b2e6bb768d07 |
Azure Virtual Desktop Client Windows Virtual Desktop Client |
a85cf173-4192-42f8-81fa-777a763e6e2c |
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider |
50e95039-b200-4007-bc97-8d5790743a63 |
Cet article explique comment attribuer un rôle aux principaux de service Azure Virtual Desktop appropriés à l’aide des Portail Azure, Azure CLI ou Azure PowerShell.
Prérequis
Avant de pouvoir attribuer un rôle à un principal de service Azure Virtual Desktop, vous devez respecter les conditions préalables suivantes :
Vous devez avoir
Microsoft.Authorization/roleAssignments/write
l’autorisation d’accès à un abonnement Azure avant de pouvoir attribuer des rôles sur cet abonnement. Cette autorisation fait partie des rôles internes duPropriétaire ou de l’Administrateur de l’accès utilisateur.Si vous souhaitez utiliser Azure PowerShell ou Azure CLI localement, consultez Utiliser Azure CLI et Azure PowerShell avec Azure Virtual Desktop pour vous assurer que vous disposez du module PowerShell Az.DesktopVirtualization ou de l’extension Azure CLI desktopvirtualization installée. Vous pouvez également utiliser Azure Cloud Shell.
Attribuer un rôle à un principal de service Azure Virtual Desktop
Pour attribuer un rôle à un principal de service Azure Virtual Desktop, sélectionnez l’onglet approprié pour votre scénario et suivez les étapes. Dans ces exemples, l’étendue de l’attribution de rôle est un abonnement Azure, mais vous devez utiliser l’étendue et le rôle requis par chaque fonctionnalité.
Voici comment attribuer un rôle à un principal de service Azure Virtual Desktop à l’aide de la Portail Azure.
Connectez-vous au portail Azure.
Dans la zone de recherche, entrez Microsoft Entra ID, et sélectionnez l’entrée de service correspondante.
Dans la page Vue d’ensemble, dans la zone de recherche rechercher dans votre locataire, entrez l’ID d’application du principal de service que vous souhaitez affecter à partir de la table précédente.
Dans les résultats, sélectionnez l’application d’entreprise correspondante pour le principal de service que vous souhaitez affecter, en démarrant Azure Virtual Desktop ou Windows Virtual Desktop.
Sous propriétés, notez le nom et l’ID de l’objet. L’ID d’objet est lié à l’ID d’application et est propre à votre abonné.
Dans la zone de recherche, entrez Abonnements, ensuite sélectionnez l’entrée de service correspondante.
Sélectionnez l’abonnement auquel vous souhaitez ajouter l’attribution de rôle.
Choisissez Contrôle d’accès (IAM), ensuite sélectionnez + Ajouter suivi par Ajouter une attribution de rôle.
Sélectionnez le rôle que vous souhaitez attribuer au principal du service d’Azure Virtual Desktop, ensuite sélectionnez Suivant.
Vérifiez que Attribuer l’accès à est défini sur Utilisateur, groupe ou principal de service Microsoft Entra, puis sélectionnez Sélectionner des membres.
Entrez le nom de l’application d’entreprise que vous avez notée précédemment.
Sélectionnez l’entrée correspondante dans les résultats, ensuite sélectionnez Sélectionner. Si vous avez deux entrées portant le même nom, sélectionnez-les pour l’instant.
Vérifiez la liste des membres dans le tableau. Si vous avez deux entrées, supprimez l’entrée qui ne correspond pas à l’ID d’objet que vous avez noté précédemment.
Sélectionnez Suivant , ensuite sélectionnez Vérifier + attribuer pour finaliser l’opération d’attribution de rôle.
Étapes suivantes
En savoir plus sur les rôles RBAC Azure intégrés pour Azure Virtual Desktop.