いくつかの Azure Virtual Desktop 機能では、Azure ロールベースのアクセス制御 (Azure RBAC) ロールまたは Microsoft Entra ロールを Azure Virtual Desktop サービス プリンシパルのいずれかに割り当てる必要があります。 Azure Virtual Desktop サービス プリンシパルにロールを割り当てる必要がある機能は次のとおりです。
- App Attach (Azure Filesを使用していて、セッション ホストがMicrosoft Entra IDに参加している場合)。
- 自動スケーリング。
- セッション ホストの更新
- 接続時に VM を起動します。
ヒント
各機能の記事で、どのサービス プリンシパルに割り当てる必要があるロールまたはロールを見つけることができます。 Azure Virtual Desktop 用に作成された使用可能なすべての Azure RBAC ロールの一覧については、「Azure Virtual Desktop 用 の組み込みの Azure RBAC ロール」を参照してください。 Microsoft Entraロールの詳細については、Microsoft Entraロールのドキュメントを参照してください。
Microsoft.DesktopVirtualization リソース プロバイダーを登録したタイミングに応じて、サービス プリンシパル名は Azure Virtual Desktop または Windows Virtual Desktop で始まります。 また、以前に Azure Virtual Desktop クラシックと Azure Virtual Desktop (Azure Resource Manager) の両方を使用していた場合は、同じ名前のアプリが表示されます。 正しいサービス プリンシパルにロールを割り当てることを確認するには、そのアプリケーション ID を確認します。 各サービス プリンシパルのアプリケーション ID を次の表に示します。
サービス プリンシパル | アプリケーション ID |
---|---|
Azure Virtual Desktop Windows Virtual Desktop |
9cdead84-a844-4324-93f2-b2e6bb768d07 |
Azure Virtual Desktop Client Windows Virtual Desktop Client |
a85cf173-4192-42f8-81fa-777a763e6e2c |
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider |
50e95039-b200-4007-bc97-8d5790743a63 |
この記事では、Azure portal、Azure CLI、またはAzure PowerShellを使用して、Azure RBAC ロールまたはMicrosoft Entra ロールを正しい Azure Virtual Desktop サービス プリンシパルに割り当てる方法について説明します。
前提条件
Azure Virtual Desktop サービス プリンシパルにロールを割り当てる前に、次の前提条件を満たす必要があります。
Azure RBAC ロールを割り当てるには、そのサブスクリプションにロールを割り当てるには、Azure サブスクリプションに対する
Microsoft.Authorization/roleAssignments/write
アクセス許可が必要です。 このアクセス許可は、組み込みの ロールの所有者 または ユーザー アクセス管理者 の一部です。Microsoft Entraロールを割り当てるには、特権ロール管理者またはそれと同等の権限を持っている必要があります。
Azure PowerShellまたは Azure CLI をローカルで使用する場合は、「Azure CLI と Azure Virtual Desktop でAzure PowerShellを使用する」を参照して、Az.DesktopVirtualization PowerShell モジュールまたは desktopvirtualization Azure CLI 拡張機能がインストールされていることを確認してください。 または、Azure Cloud Shellを使用します。
Azure Virtual Desktop サービス プリンシパルに Azure RBAC ロールを割り当てる
Azure Virtual Desktop サービス プリンシパルに Azure RBAC ロール を割り当てるには、シナリオに関連するタブを選択し、手順に従います。 これらの例では、ロールの割り当てのスコープは Azure サブスクリプションですが、各機能で必要なスコープとロールを使用する必要があります。
Azure portalを使用して、サブスクリプションをスコープとした Azure Virtual Desktop サービス プリンシパルに Azure RBAC ロールを割り当てる方法を次に示します。
Azure portal にサインインし
検索ボックスに「Microsoft Entra ID」と入力し、一致するサービス エントリを選択します。
[概要] ページの [ テナントの検索] の検索ボックスに、前の表から割り当てるサービス プリンシパルのアプリケーション ID を入力します。
結果で、割り当てるサービス プリンシパルに対応するエンタープライズ アプリケーションを選択します。 Azure Virtual Desktop または Windows Virtual Desktop から開始します。
[プロパティ] で、 名前 と オブジェクト ID を書き留めます。 オブジェクト ID はアプリケーション ID に関連付け、テナントに固有です。
検索ボックスに戻る、「サブスクリプション」と入力し、一致するサービス エントリを選択します。
ロールの割り当てを追加するサブスクリプションを選択します。
[ アクセス制御 (IAM)] を選択し、[ + 追加] を選択し、[ ロールの割り当ての追加] を選択します。
Azure Virtual Desktop サービス プリンシパルに割り当てるロールを選択し、[ 次へ] を選択します。
[アクセスの割り当て先] がユーザー、グループ、またはサービス プリンシパルMicrosoft Entra設定されていることを確認し、[メンバーの選択] を選択します。
前にメモしたエンタープライズ アプリケーションの名前を入力します。
結果から一致するエントリを選択し、[ 選択] を選択します。 同じ名前のエントリが 2 つある場合は、今のところ両方を選択します。
テーブル内のメンバーの一覧を確認します。 2 つのエントリがある場合は、先ほどメモしたオブジェクト ID と一致しないエントリを削除します。
[ 次へ] を選択し、[ 確認と割り当て ] を選択してロールの割り当てを完了します。
Azure Virtual Desktop サービス プリンシパルにMicrosoft Entra ロールを割り当てる
Microsoft Entra ロールを Azure Virtual Desktop サービス プリンシパルに割り当てるには、シナリオに関連するタブを選択し、手順に従います。 これらの例では、ロールの割り当てのスコープは Azure サブスクリプションですが、各機能で必要なスコープとロールを使用する必要があります。
Azure portalを使用して、テナントを対象とした Azure Virtual Desktop サービス プリンシパルにMicrosoft Entra ロールを割り当てる方法を次に示します。
Azure portal にサインインし
検索ボックスに「Microsoft Entra ID」と入力し、一致するサービス エントリを選択します。
[ ロールと管理者] を選択します。
割り当てるロールの名前を検索して選択します。 カスタム ロールを割り当てる場合は、「カスタム ロールを作成 して最初に作成する」を参照してください。
[ 割り当ての追加] を選択します。
検索ボックスに、前の表から割り当てるサービス プリンシパルのアプリケーション ID を入力します (例: 9cdead84-a844-4324-93f2-b2e6bb768d07)。
一致するエントリの横にあるチェック ボックスをオンにし、[ 追加 ] を選択してロールの割り当てを完了します。
次の手順
Azure Virtual Desktop 用の組み込みの Azure RBAC ロールの詳細を確認してください。