RBAC-szerepkörök hozzárendelése az Azure Virtual Desktop szolgáltatásnevekhez

Számos Azure Virtual Desktop-funkcióhoz azure-beli szerepköralapú hozzáférés-vezérlési (Azure RBAC) szerepköröket kell hozzárendelnie az Azure Virtual Desktop szolgáltatásnév egyikéhez. Az Azure Virtual Desktop szolgáltatásnévhez szerepkör hozzárendeléséhez szükséges funkciók a következők:

• Automatikus skálázás.
• Virtuális gép indítása Csatlakozás.
• Alkalmazás csatolása (az Azure Files és a Microsoft Entra ID-hoz csatlakoztatott munkamenet-gazdagépek használatakor).

Tipp.

Megtalálhatja, hogy melyik szerepkörhöz kell hozzárendelnie a cikkben szereplő szolgáltatásnevet az egyes funkciókhoz. A kifejezetten az Azure Virtual Desktophoz elérhető szerepkörök listájáért tekintse meg az Azure Virtual Desktop beépített Azure RBAC-szerepköreinek listáját. Az Azure RBAC-ről további információt az Azure RBAC dokumentációjában talál.

Attól függően, hogy mikor regisztrálta a Microsoft.DesktopVirtualization erőforrás-szolgáltatót, a szolgáltatásnévnevek az Azure Virtual Desktop vagy a Windows Virtual Desktop használatával kezdődnek. Ha a klasszikus Azure Virtual Desktopot és az Azure Virtual Desktopot (Azure Resource Managert) is használta, az azonos nevű alkalmazásokat láthatja. Az alkalmazásazonosító ellenőrzésével meggyőződhet arról, hogy szerepköröket rendel a megfelelő szolgáltatásnévhez. Az egyes szolgáltatásnevek alkalmazásazonosítója az alábbi táblázatban található:

Service principal	Pályázat azonosítója
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

Ez a cikk bemutatja, hogyan rendelhet szerepkört a megfelelő Azure Virtual Desktop-szolgáltatásnevekhez az Azure Portal, az Azure CLI vagy az Azure PowerShell használatával.

Előfeltételek

Mielőtt szerepkört rendelhet egy Azure Virtual Desktop-szolgáltatásnévhez, meg kell felelnie az alábbi előfeltételeknek:

• Ahhoz, hogy szerepköröket rendelhessen az adott előfizetéshez, engedéllyel kell rendelkeznie Microsoft.Authorization/roleAssignments/write egy Azure-előfizetéshez. Ez az engedély a Tulajdonos vagy a Felhasználói hozzáférés Rendszergazda istrator beépített szerepköreinek része.

• Ha helyileg szeretné használni az Azure PowerShellt vagy az Azure CLI-t, olvassa el az Azure CLI és az Azure PowerShell használata az Azure Virtual Desktopkal című témakört, amelyből megtudhatja, hogy telepítve van-e az Az.DesktopVirtualization PowerShell modul vagy a desktopvirtualization Azure CLI-bővítmény. Másik lehetőségként használja az Azure Cloud Shellt.

Szerepkör hozzárendelése Azure Virtual Desktop-szolgáltatásnévhez

Ha szerepkört szeretne hozzárendelni egy Azure Virtual Desktop-szolgáltatásnévhez, válassza ki a forgatókönyv megfelelő lapját, és kövesse a lépéseket. Ezekben a példákban a szerepkör-hozzárendelés hatóköre egy Azure-előfizetés, de az egyes funkciókhoz szükséges hatókört és szerepkört kell használnia.

Portal

Az Alábbiakban bemutatjuk, hogyan rendelhet szerepkört egy Azure Virtual Desktop-szolgáltatásnévhez az Azure Portal használatával.

1. Jelentkezzen be az Azure Portalra.

2. A keresőmezőbe írja be a Microsoft Entra azonosítóját , és válassza ki a megfelelő szolgáltatásbejegyzést.

3. Az Áttekintés lapon a Bérlő keresése keresőmezőbe írja be a korábbi táblából hozzárendelni kívánt szolgáltatásnév alkalmazásazonosítóját.

4. Az eredmények között válassza ki a hozzárendelni kívánt szolgáltatásnévnek megfelelő vállalati alkalmazást az Azure Virtual Desktoptól vagy a Windows Virtual Desktoptól kezdve.

5. A Tulajdonságok területen jegyezze fel a nevet és az objektumazonosítót. Az objektumazonosító korrelál az alkalmazásazonosítóval, és egyedi a bérlő számára.

6. A keresőmezőbe írja be az Előfizetések kifejezést, és válassza ki a megfelelő szolgáltatásbejegyzést.

7. Válassza ki azt az előfizetést, amelyhez hozzá szeretné adni a szerepkör-hozzárendelést.

8. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget, majd a + Hozzáadás és a Szerepkör-hozzárendelés hozzáadása lehetőséget.

9. Válassza ki az Azure Virtual Desktop szolgáltatásnévhez hozzárendelni kívánt szerepkört, majd válassza a Tovább gombot.

10. Győződjön meg arról , hogy a Hozzáférés hozzárendelése beállítás a Microsoft Entra felhasználóhoz , csoporthoz vagy szolgáltatásnévhez van állítva, majd válassza a Tagok kiválasztása lehetőséget.

11. Adja meg annak a vállalati alkalmazásnak a nevét, amelyről korábban jegyzett.

12. Válassza ki az egyező bejegyzést az eredmények közül, majd válassza a Kiválasztás lehetőséget. Ha két azonos nevű bejegyzéssel rendelkezik, most mindkettőt jelölje ki.

13. Tekintse át a táblázatban szereplő tagok listáját. Ha két bejegyzéssel rendelkezik, távolítsa el azt a bejegyzést, amely nem egyezik meg a korábban jegyzett objektumazonosítóval.

14. Válassza a Tovább lehetőséget, majd a Véleményezés + hozzárendelés lehetőséget a szerepkör-hozzárendelés befejezéséhez.

Azure PowerShell

Az Alábbiakban bemutatjuk, hogyan rendelhet szerepkört egy Azure Virtual Desktop-szolgáltatásnévhez az Az.DesktopVirtualization PowerShell-modul használatával.

1. Indítsa el az Azure Cloud Shellt az Azure Portalon a PowerShell-termináltípussal , vagy futtassa a PowerShellt a helyi eszközön.

   1. Ha Cloud Shellt használ, győződjön meg arról, hogy az Azure-környezet a használni kívánt előfizetésre van állítva.

   2. Ha helyileg használja a PowerShellt, először jelentkezzen be az Azure PowerShell-lel, majd győződjön meg arról, hogy az Azure-környezet a használni kívánt előfizetésre van állítva.

2. Keresse meg annak az előfizetésnek az azonosítóját, amelyhez hozzá szeretné adni a szerepkör-hozzárendelést, ha felsorolja az összes elérhetőt az alábbi paranccsal:

   Get-AzSubscription
   

3. Az előfizetés azonosítóját egy változóban tárolhatja az alábbi parancs futtatásával, és cserélje le az előfizetés azonosítóját a példában szereplő sajátra:

   $subId = "00000000-0000-0000-0000-000000000000"
   

4. Rendelje hozzá a szerepkört egy Azure Virtual Desktop-szolgáltatásnévhez az alábbi parancs futtatásával, a paraméter értékét RoleDefinitionName a hozzárendelni kívánt szerepkör nevére cseréli, a ApplicationId paramétert pedig a korábbi táblából hozzárendelni kívánt szolgáltatásnév alkalmazásazonosítójára. Ez a példa az asztali virtualizálási power on off közreműködői szerepkört rendeli hozzá az előfizetés Azure Virtual Desktop szolgáltatásnévéhez:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   A kimenetnek az alábbi példához hasonlónak kell lennie:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure CLI

Az alábbiakban bemutatjuk, hogyan rendelhet hozzá szerepkört egy Azure Virtual Desktop szolgáltatásnévhez az Azure CLI desktopvirtualization bővítményével.

1. Indítsa el az Azure Cloud Shellt az Azure Portalon Bash-termináltípussal, vagy futtassa az Azure CLI-t a helyi eszközön.

   1. Ha Cloud Shellt használ, győződjön meg arról, hogy az Azure-környezet a használni kívánt előfizetésre van állítva.

   2. Ha helyileg használja az Azure CLI-t, először jelentkezzen be az Azure CLI-vel, majd győződjön meg arról, hogy az Azure-környezet a használni kívánt előfizetésre van állítva.

2. Keresse meg annak az előfizetésnek az azonosítóját, amelyhez hozzá szeretné adni a szerepkör-hozzárendelést, ha felsorolja az összes elérhetőt az alábbi paranccsal:

   az account list --output table
   

3. Az SubscriptionId értékét egy változóban tárolhatja az alábbi parancs futtatásával, és cserélje le a példában szereplő előfizetés-azonosítót a saját értékére:

   subId=00000000-0000-0000-0000-000000000000
   

4. Rendelje hozzá a szerepkört egy Azure Virtual Desktop-szolgáltatásnévhez az alábbi parancs futtatásával, a paraméter értékét role a hozzárendelni kívánt szerepkör nevére cseréli, a assignee paramétert pedig a korábbi táblából hozzárendelni kívánt szolgáltatásnév alkalmazásazonosítójára. Ez a példa az asztali virtualizálási power on off közreműködői szerepkört rendeli hozzá az előfizetés Azure Virtual Desktop szolgáltatásnévéhez:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   A kimenetnek az alábbi példához hasonlónak kell lennie:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

További lépések

További információ az Azure Virtual Desktop beépített Azure RBAC-szerepköreiről.