Azure Virtual Desktop 서비스 주체에 RBAC 역할 할당

여러 Azure Virtual Desktop 기능을 사용하려면 Azure RBAC(Azure 역할 기반 액세스 제어) 역할을 Azure Virtual Desktop 서비스 주체 중 하나에 할당해야 합니다. Azure Virtual Desktop 서비스 주체에 역할을 할당하는 데 필요한 기능은 다음과 같습니다.

• 자동 크기 조정.
• 연결 시 VM 시작.
• 앱 조인(Azure Files 및 Microsoft Entra ID에 조인된 세션 호스트를 사용하는 경우)

팁

각 기능에 대한 문서에서 어떤 서비스 주체에 어떤 역할을 할당해야 하는지 확인할 수 있습니다. Azure Virtual Desktop에 특별히 사용 가능한 모든 역할 목록은 Azure Virtual Desktop에 기본 제공되는 Azure RBAC 역할을 참조하세요. Azure RBAC에 대해 자세히 알아보려면 Azure RBAC 설명서를 참조하세요.

Microsoft.DesktopVirtualization 리소스 공급자를 등록한 시기에 따라 서비스 주체 이름은 Azure Virtual Desktop 또는 Windows Virtual Desktop으로 시작됩니다. Azure Virtual Desktop Classic과 Azure Virtual Desktop(Azure Resource Manager)을 모두 사용한 경우 동일한 이름의 앱이 표시됩니다. 애플리케이션 ID를 확인하여 올바른 서비스 주체에 역할을 할당하고 있는지 확인할 수 있습니다. 각 서비스 주체의 애플리케이션 ID는 다음 표에 나와 있습니다.

서비스 사용자	애플리케이션 ID
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

이 문서에서는 Azure Portal, Azure CLI 또는 Azure PowerShell을 사용하여 올바른 Azure Virtual Desktop 서비스 주체에 역할을 할당하는 방법을 보여 줍니다.

필수 조건

Azure Virtual Desktop 서비스 주체에 역할을 할당하려면 먼저 다음 필수 구성 요소를 충족해야 합니다.

• 해당 구독에 역할을 할당하려면 Azure 구독에 대한 Microsoft.Authorization/roleAssignments/write 권한이 있어야 합니다. 이 권한은 소유자 또는 사용자 액세스 관리자 기본 제공 역할의 일부입니다.

• Azure PowerShell 또는 Azure CLI를 로컬로 사용하려면 Azure Virtual Desktop에서 Azure CLI 및 Azure PowerShell 사용을 참조하여 Az.DesktopVirtualization PowerShell 모듈이 있는지 확인하거나 데스크톱 가상화 Azure CLI 확장이 설치되었습니다. 또는 Azure Cloud Shell을 사용합니다.

Azure Virtual Desktop 서비스 주체에 역할 할당

Azure Virtual Desktop 서비스 주체에 역할을 할당하려면 시나리오에 해당하는 탭을 선택하고 단계를 따릅니다. 이 예에서 역할 할당 범위는 Azure 구독이지만 각 기능에 필요한 범위와 역할을 사용해야 합니다.

포털

Azure Portal을 사용하여 Azure Virtual Desktop 서비스 주체에 역할을 할당하는 방법은 다음과 같습니다.

1. Azure Portal에 로그인합니다.

2. 검색 상자에 Microsoft Entra ID를 입력하고 일치하는 서비스 항목을 선택합니다.

3. 개요 페이지의 테넌트 검색 검색 상자에 이전 표에서 할당하려는 서비스 주체에 대한 애플리케이션 ID를 입력합니다.

4. 결과에서 할당하려는 서비스 주체와 일치하는 엔터프라이즈 애플리케이션을 선택하고 Azure Virtual Desktop 또는 Windows Virtual Desktop을 시작합니다.

5. 속성 아래에서 이름과 개체 ID를 기록해 둡니다. 개체 ID는 애플리케이션 ID와 상호 관련되며 테넌트에 고유합니다.

6. 검색 상자에 구독을 입력하고 일치하는 서비스 항목을 선택합니다.

7. 역할 할당을 추가하려는 구독을 선택합니다.

8. 액세스 제어(IAM)를 선택한 다음 + 추가와 역할 할당 추가를 차례로 선택합니다.

9. Azure Virtual Desktop 서비스 주체에 할당할 역할을 선택한 후 다음을 선택합니다.

10. 액세스 할당 대상이 Microsoft Entra 사용자, 그룹 또는 서비스 주체로 설정되어 있는지 확인한 다음 멤버 선택을 선택합니다.

11. 앞서 기록해 둔 엔터프라이즈 애플리케이션의 이름을 입력합니다.

12. 결과에서 일치하는 항목을 선택한 다음 선택을 선택합니다. 이름이 같은 항목이 두 개 있으면 지금은 둘 다 선택합니다.

13. 테이블의 멤버 목록을 검토합니다. 두 개의 항목이 있는 경우 이전에 기록해 둔 개체 ID와 일치하지 않는 항목을 제거합니다.

14. 다음을 선택한 후 검토 + 할당을 선택하여 역할 할당을 완료합니다.

Azure PowerShell

Az.DesktopVirtualization PowerShell 모듈을 사용하여 Azure Virtual Desktop 서비스 주체에 역할을 할당하는 방법은 다음과 같습니다.

1. PowerShell 터미널 형식을 사용하여 Azure Portal에서 Azure Cloud Shell을 시작하거나 로컬 디바이스에서 PowerShell을 시작합니다.

   1. Cloud Shell을 사용하는 경우 Azure 컨텍스트가 사용하려는 구독으로 설정되어 있는지 확인합니다.

   2. PowerShell을 로컬로 사용하는 경우 먼저 Azure PowerShell로 로그인한 다음 Azure 컨텍스트가 사용하려는 구독으로 설정되어 있는지 확인합니다.

2. 다음 명령을 사용하여 사용 가능한 모든 항목을 나열하여 역할 할당을 추가하려는 구독의 ID를 찾습니다.

   Get-AzSubscription
   

3. 다음 명령을 실행하여 구독 ID를 변수에 저장하고 이 예의 구독 ID를 사용자 고유의 ID로 바꿉니다.

   $subId = "00000000-0000-0000-0000-000000000000"
   

4. 다음 명령을 실행하여 Azure Virtual Desktop 서비스 주체에 역할을 할당합니다. RoleDefinitionName 매개변수의 값을 할당해야 하는 역할의 이름으로 바꾸고, ApplicationId 매개변수를 이전 테이블에서 할당하려는 서비스 주체의 애플리케이션 ID로 바꿉니다. 이 예에서는 구독의 Azure Virtual Desktop 서비스 주체에 Desktop Virtualization Power On Off 기여자 역할을 할당합니다.

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   출력은 다음 예와 유사해야 합니다.

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure CLI

Azure CLI용 데스크톱 가상화 확장을 사용하여 Azure Virtual Desktop 서비스 주체에 역할을 할당하는 방법은 다음과 같습니다.

1. Bash 터미널 형식을 사용하여 Azure Portal에서 Azure Cloud Shell을 시작하거나 로컬 디바이스에서 Azure CLI를 시작합니다.

   1. Cloud Shell을 사용하는 경우 Azure 컨텍스트가 사용하려는 구독으로 설정되어 있는지 확인합니다.

   2. Azure CLI를 로컬에서 사용하는 경우 먼저 Azure CLI로 로그인한 다음 Azure 컨텍스트가 사용하려는 구독으로 설정되어 있는지 확인합니다.

2. 다음 명령을 사용하여 사용 가능한 모든 항목을 나열하여 역할 할당을 추가하려는 구독의 ID를 찾습니다.

   az account list --output table
   

3. 다음 명령을 실행하여 변수에 SubscriptionId 값을 저장하고 이 예의 구독 ID를 사용자 고유의 ID로 바꿉니다.

   subId=00000000-0000-0000-0000-000000000000
   

4. 다음 명령을 실행하여 Azure Virtual Desktop 서비스 주체에 역할을 할당합니다. role 매개변수의 값을 할당해야 하는 역할의 이름으로 바꾸고, assignee 매개변수를 이전 테이블에서 할당하려는 서비스 주체의 애플리케이션 ID로 바꿉니다. 이 예에서는 구독의 Azure Virtual Desktop 서비스 주체에 Desktop Virtualization Power On Off 기여자 역할을 할당합니다.

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   출력은 다음 예와 유사해야 합니다.

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

다음 단계

Azure Virtual Desktop에 기본 제공되는 Azure RBAC 역할에 대해 자세히 알아봅니다.