Azure Virtual Desktop サービス プリンシパルに RBAC ロールを割り当てる

完了

Azure Virtual Desktop のいくつかの機能では、Azure ロールベースのアクセス制御 (Azure RBAC) のロールをいずれかの Azure Virtual Desktop サービス プリンシパルに割り当てる必要があります。 Azure Virtual Desktop サービス プリンシパルにロールを割り当てる必要がある機能は次のとおりです。

• 自動スケール。
• Start VM on Connect。
• アプリのアタッチ (Azure Files と Microsoft Entra ID に参加しているセッション ホストを使用する場合)。

ヒント

どのサービス プリンシパルにどのロールを割り当てる必要があるかは、各機能の記事で確認できます。 特に Azure Virtual Desktop で使用できるすべてのロールの一覧については、「Azure Virtual Desktop の組み込み Azure RBAC ロール」をご覧ください。Azure RBAC の詳細については、Azure RBAC のドキュメントをご覧ください。

Microsoft.DesktopVirtualization リソース プロバイダーをいつ登録したかによって、サービス プリンシパル名は Azure Virtual Desktop か Windows Virtual Desktop のどちらかで始まります。 Azure Virtual Desktop クラシックと Azure Virtual Desktop (Azure Resource Manager) の両方を使用したことがある場合は、同じ名前のアプリが表示されます。 正しいサービス プリンシパルにロールを割り当てるようにするには、そのアプリケーション ID を確認します。 各サービス プリンシパルのアプリケーション ID を次の表に示します。

サービス プリンシパル	アプリケーション ID
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop クライアント Windows Virtual Desktop クライアント	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM プロバイダー Windows Virtual Desktop ARM プロバイダー	50e95039-b200-4007-bc97-8d5790743a63

このユニットでは、Azure portal、Azure CLI、または Azure PowerShell を使用して、適切な Azure Virtual Desktop サービス プリンシパルにロールを割り当てる方法について説明します。

前提条件

Azure Virtual Desktop サービス プリンシパルにロールを割り当てるには、次の前提条件を満たしておく必要があります。

• Azure サブスクリプションにロールを割り当てるには、そのサブスクリプションに対する Microsoft.Authorization/roleAssignments/write アクセス許可が必要です。 このアクセス許可は、所有者またはユーザー アクセス管理者組み込みロールの一部です。
• Azure PowerShell または Azure CLI をローカルで使用する場合は、「Azure Virtual Desktop で Azure CLI と Azure PowerShell を使用する」を参照して、Az.DesktopVirtualization PowerShell モジュールまたは desktopvirtualization Azure CLI 拡張機能がインストールされていることを確認してください。 別の方法として、Azure Cloud Shell を使用します。

Azure Virtual Desktop サービス プリンシパルにロールを割り当てる

Azure Virtual Desktop サービス プリンシパルにロールを割り当てるには、シナリオに関連するタブを選択し、手順に従ってください。 これらの例では、ロールの割り当てのスコープは Azure サブスクリプションですが、各機能で必要なスコープとロールを使う必要があります。

ここでは、Azure portal を使って Azure Virtual Desktop サービス プリンシパルにロールを割り当てる方法を示します。

1. Azure portal にサインインします。
2. 検索ボックスに「Microsoft Entra ID」と入力し、一致するサービス エントリを選択します。
3. [概要] ページの [テナントの検索] の検索ボックスに、割り当てたいサービス プリンシパルを前の表から選択し、そのアプリケーション ID を入力します。
4. 結果で、割り当てたいサービス プリンシパルに一致するエンタープライズ アプリケーションを入力します。これにより Azure Virtual Desktop または Windows Virtual Desktop が起動します。
5. [プロパティ] で、名前とオブジェクト ID を書き留めておきます。 オブジェクト ID はアプリケーション ID に関連付けられており、テナントに固有です。
6. 検索ボックスに「サブスクリプション」と入力して、一致するサービス エントリを選びます。
7. ロールの割り当てを追加するサブスクリプションを選びます。
8. [アクセス制御 (IAM)]、[+ 追加]、[ロールの割り当てを追加] の順に選びます。
9. Azure Virtual Desktop サービス プリンシパルに割り当てるロールを選んだら、[次へ] を選びます。
10. [アクセスの割り当て先] が [Microsoft Entra のユーザー、グループ、またはサービス プリンシパル] に設定されていることを確認してから、[メンバーの選択] を選びます。
11. 前にメモしたエンタープライズ アプリケーションの名前を入力します。
12. 結果から一致するエントリを選んで、[選択] を選びます。 同じ名前のエントリが 2 つある場合、現時点では両方とも選択します。
13. テーブルでメンバーの一覧を確認します。 エントリが 2 つある場合は、前に記録したオブジェクト ID と一致しないエントリを削除します。
14. [次へ] を選んでから、[レビューと割り当て] を選んでロールの割り当てを完了します。