Azure Virtual Desktop サービス プリンシパルに Azure RBAC ロールまたはMicrosoft Entra ロールを割り当てる

いくつかの Azure Virtual Desktop 機能では、Azure ロールベースのアクセス制御 (Azure RBAC) ロールまたは Microsoft Entra ロールを Azure Virtual Desktop サービス プリンシパルのいずれかに割り当てる必要があります。 Azure Virtual Desktop サービス プリンシパルにロールを割り当てる必要がある機能は次のとおりです。

• App Attach (Azure Filesを使用していて、セッション ホストがMicrosoft Entra IDに参加している場合)。
• 自動スケーリング。
• セッション ホストの更新
• 接続時に VM を起動します。

ヒント

各機能の記事で、どのサービス プリンシパルに割り当てる必要があるロールまたはロールを見つけることができます。 Azure Virtual Desktop 用に作成された使用可能なすべての Azure RBAC ロールの一覧については、「Azure Virtual Desktop 用 の組み込みの Azure RBAC ロール」を参照してください。 Microsoft Entraロールの詳細については、Microsoft Entraロールのドキュメントを参照してください。

Microsoft.DesktopVirtualization リソース プロバイダーを登録したタイミングに応じて、サービス プリンシパル名は Azure Virtual Desktop または Windows Virtual Desktop で始まります。 また、以前に Azure Virtual Desktop クラシックと Azure Virtual Desktop (Azure Resource Manager) の両方を使用していた場合は、同じ名前のアプリが表示されます。 正しいサービス プリンシパルにロールを割り当てることを確認するには、そのアプリケーション ID を確認します。 各サービス プリンシパルのアプリケーション ID を次の表に示します。

サービス プリンシパル	アプリケーション ID
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

この記事では、Azure portal、Azure CLI、またはAzure PowerShellを使用して、Azure RBAC ロールまたはMicrosoft Entra ロールを正しい Azure Virtual Desktop サービス プリンシパルに割り当てる方法について説明します。

前提条件

Azure Virtual Desktop サービス プリンシパルにロールを割り当てる前に、次の前提条件を満たす必要があります。

• Azure RBAC ロールを割り当てるには、そのサブスクリプションにロールを割り当てるには、Azure サブスクリプションに対する Microsoft.Authorization/roleAssignments/write アクセス許可が必要です。 このアクセス許可は、組み込みの ロールの所有者 または ユーザー アクセス管理者 の一部です。

• Microsoft Entraロールを割り当てるには、特権ロール管理者またはそれと同等の権限を持っている必要があります。

• Azure PowerShellまたは Azure CLI をローカルで使用する場合は、「Azure CLI と Azure Virtual Desktop でAzure PowerShellを使用する」を参照して、Az.DesktopVirtualization PowerShell モジュールまたは desktopvirtualization Azure CLI 拡張機能がインストールされていることを確認してください。 または、Azure Cloud Shellを使用します。

Azure Virtual Desktop サービス プリンシパルに Azure RBAC ロールを割り当てる

Azure Virtual Desktop サービス プリンシパルに Azure RBAC ロール を割り当てるには、シナリオに関連するタブを選択し、手順に従います。 これらの例では、ロールの割り当てのスコープは Azure サブスクリプションですが、各機能で必要なスコープとロールを使用する必要があります。

Azure portal

Azure portalを使用して、サブスクリプションをスコープとした Azure Virtual Desktop サービス プリンシパルに Azure RBAC ロールを割り当てる方法を次に示します。

1. Azure portal にサインインし

2. 検索ボックスに「Microsoft Entra ID」と入力し、一致するサービス エントリを選択します。

3. [概要] ページの [ テナントの検索] の検索ボックスに、前の表から割り当てるサービス プリンシパルのアプリケーション ID を入力します。

4. 結果で、割り当てるサービス プリンシパルに対応するエンタープライズ アプリケーションを選択します。 Azure Virtual Desktop または Windows Virtual Desktop から開始します。

5. [プロパティ] で、 名前 と オブジェクト ID を書き留めます。 オブジェクト ID はアプリケーション ID に関連付け、テナントに固有です。

6. 検索ボックスに戻る、「サブスクリプション」と入力し、一致するサービス エントリを選択します。

7. ロールの割り当てを追加するサブスクリプションを選択します。

8. [ アクセス制御 (IAM)] を選択し、[ + 追加] を選択し、[ ロールの割り当ての追加] を選択します。

9. Azure Virtual Desktop サービス プリンシパルに割り当てるロールを選択し、[ 次へ] を選択します。

10. [アクセスの割り当て先] がユーザー、グループ、またはサービス プリンシパルMicrosoft Entra設定されていることを確認し、[メンバーの選択] を選択します。

11. 前にメモしたエンタープライズ アプリケーションの名前を入力します。

12. 結果から一致するエントリを選択し、[ 選択] を選択します。 同じ名前のエントリが 2 つある場合は、今のところ両方を選択します。

13. テーブル内のメンバーの一覧を確認します。 2 つのエントリがある場合は、先ほどメモしたオブジェクト ID と一致しないエントリを削除します。

14. [ 次へ] を選択し、[ 確認と割り当て ] を選択してロールの割り当てを完了します。

Azure PowerShell

Az.DesktopVirtualization PowerShell モジュールを使用して、サブスクリプションをスコープとした Azure Virtual Desktop サービス プリンシパルに Azure RBAC ロールを割り当てる方法を次に示します。

1. PowerShell ターミナルの種類でAzure portalで Azure Cloud Shellを開くか、ローカル デバイスで PowerShell を実行します。

   • Cloud Shellを使用している場合は、Azure コンテキストが使用するサブスクリプションに設定されていることを確認します。

   • PowerShell をローカルで使用している場合は、まずAzure PowerShellでサインインし、Azure コンテキストが使用するサブスクリプションに設定されていることを確認します。

2. ロールの割り当てを追加するサブスクリプションの ID を見つけるには、次のコマンドを使用して使用可能なすべての ID を一覧表示します。

   Get-AzSubscription
   

3. 次のコマンドを実行してサブスクリプション ID を変数に格納し、この例のサブスクリプション ID を独自のサブスクリプション ID に置き換えます。

   $subId = "<SubscriptionID>"
   

4. 次のコマンドを実行して、Azure Virtual Desktop サービス プリンシパルにロールを割り当てます。 RoleDefinitionName パラメーターの値を割り当てる必要があるロールの名前に置き換え、 ApplicationId パラメーターを前の表から割り当てるサービス プリンシパルのアプリケーション ID に置き換えます。 次の使用例は、サブスクリプションの Azure Virtual Desktop サービス プリンシパルに Desktop Virtualization Power On Off 共同作成者ロールを割り当てます。

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   出力は次の例のようになります。

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure CLI

Azure CLI の デスクトップ 仮想化拡張機能を使用して、サブスクリプションをスコープとした Azure Virtual Desktop サービス プリンシパルに Azure RBAC ロールを割り当てる方法を次に示します。

1. Bash ターミナルの種類でAzure portalで Azure Cloud Shellを開くか、ローカル デバイスで Azure CLI を実行します。

   • Cloud Shellを使用している場合は、Azure コンテキストが使用するサブスクリプションに設定されていることを確認します。

   • Azure CLI をローカルで使用している場合は、まず Azure CLI でサインインしてから、 使用するサブスクリプションに Azure コンテキストが設定されていることを確認します。

2. ロールの割り当てを追加するサブスクリプションの ID を見つけるには、次のコマンドを使用して使用可能なすべての ID を一覧表示します。

   az account list --output table
   

3. 次のコマンドを実行して SubscriptionId の値を変数に格納し、この例のサブスクリプション ID を独自のサブスクリプション ID に置き換えます。

   subId=00000000-0000-0000-0000-000000000000
   

4. 次のコマンドを実行して、Azure Virtual Desktop サービス プリンシパルにロールを割り当てます。 role パラメーターの値を割り当てる必要があるロールの名前に置き換え、 assignee パラメーターを前の表から割り当てるサービス プリンシパルのアプリケーション ID に置き換えます。 次の使用例は、サブスクリプションの Azure Virtual Desktop サービス プリンシパルに Desktop Virtualization Power On Off 共同作成者ロールを割り当てます。

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   出力は次の例のようになります。

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Azure Virtual Desktop サービス プリンシパルにMicrosoft Entra ロールを割り当てる

Microsoft Entra ロールを Azure Virtual Desktop サービス プリンシパルに割り当てるには、シナリオに関連するタブを選択し、手順に従います。 これらの例では、ロールの割り当てのスコープは Azure サブスクリプションですが、各機能で必要なスコープとロールを使用する必要があります。

Azure portalを使用して、テナントを対象とした Azure Virtual Desktop サービス プリンシパルにMicrosoft Entra ロールを割り当てる方法を次に示します。

1. Azure portal にサインインし

2. 検索ボックスに「Microsoft Entra ID」と入力し、一致するサービス エントリを選択します。

3. [ ロールと管理者] を選択します。

4. 割り当てるロールの名前を検索して選択します。 カスタム ロールを割り当てる場合は、「カスタム ロールを作成 して最初に作成する」を参照してください。

5. [ 割り当ての追加] を選択します。

6. 検索ボックスに、前の表から割り当てるサービス プリンシパルのアプリケーション ID を入力します (例: 9cdead84-a844-4324-93f2-b2e6bb768d07)。

7. 一致するエントリの横にあるチェック ボックスをオンにし、[ 追加 ] を選択してロールの割り当てを完了します。

次の手順

Azure Virtual Desktop 用の組み込みの Azure RBAC ロールの詳細を確認してください。