Azure RBAC-rollen of Microsoft Entra-rollen toewijzen aan de Azure Virtual Desktop-service-principals

Voor verschillende Functies van Azure Virtual Desktop moet u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) of Microsoft Entra-rollen toewijzen aan een van de Azure Virtual Desktop-service-principals. Functies die u nodig hebt om een rol toe te wijzen aan een Azure Virtual Desktop-service-principal zijn onder andere:

• App koppelen (wanneer u Azure Files en uw sessiehosts gebruikt die zijn toegevoegd aan Microsoft Entra ID).
• Automatische schaalaanpassing.
• Update van sessiehost
• Start de VM bij Verbinding maken.

Tip

U vindt welke rol of rollen u moet toewijzen aan welke service-principal u in het artikel voor elke functie moet toewijzen. Zie ingebouwde Azure RBAC-rollen voor Azure Virtual Desktop voor een lijst met alle beschikbare Azure RBAC-rollen die specifiek zijn gemaakt voor Azure Virtual Desktop. Zie de documentatie voor Microsoft Entra-rollen voor meer informatie over Azure RBAC of voor Microsoft Entra-rollen.

Afhankelijk van wanneer u de resourceprovider Microsoft.DesktopVirtualization hebt geregistreerd, beginnen de namen van de service-principals met Azure Virtual Desktop of Windows Virtual Desktop. Als u zowel Azure Virtual Desktop Classic als een Azure Virtual Desktop (Azure Resource Manager) hebt gebruikt, ziet u apps met dezelfde naam. U kunt ervoor zorgen dat u rollen toewijst aan de juiste service-principal door de toepassings-id ervan te controleren. De toepassings-id voor elke service-principal bevindt zich in de volgende tabel:

Service-principal	Toepassings-id
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

In dit artikel leest u hoe u Azure RBAC-rollen of Microsoft Entra-rollen toewijst aan de juiste Azure Virtual Desktop-service-principals met behulp van Azure Portal, Azure CLI of Azure PowerShell.

Vereisten

Voordat u een rol kunt toewijzen aan een Azure Virtual Desktop-service-principal, moet u aan de volgende vereisten voldoen:

• Als u Azure RBAC-rollen wilt toewijzen, moet u beschikken over de Microsoft.Authorization/roleAssignments/write machtiging voor een Azure-abonnement om rollen voor dat abonnement toe te wijzen. Deze machtiging maakt deel uit van de ingebouwde rollen Eigenaar of Beheerder voor gebruikerstoegang .

• Als u Microsoft Entra-rollen wilt toewijzen, moet u de rol Beheerder voor bevoorrechte rollen of globale beheerder hebben.

• Als u Azure PowerShell of Azure CLI lokaal wilt gebruiken, raadpleegt u Azure CLI en Azure PowerShell gebruiken met Azure Virtual Desktop om ervoor te zorgen dat de Az.DesktopVirtualization PowerShell-module of desktopvirtualization Azure CLI-extensie is geïnstalleerd. U kunt ook de Azure Cloud Shell gebruiken.

Een Azure RBAC-rol toewijzen aan een Azure Virtual Desktop-service-principal

Als u een Azure RBAC-rol wilt toewijzen aan een Azure Virtual Desktop-service-principal, selecteert u het relevante tabblad voor uw scenario en volgt u de stappen. In deze voorbeelden is het bereik van de roltoewijzing een Azure-abonnement, maar u moet het bereik en de rol gebruiken die voor elke functie is vereist.

Azure-portal

U kunt als volgt een Azure RBAC-rol toewijzen aan een Azure Virtual Desktop-service-principal die is afgestemd op een abonnement met behulp van Azure Portal.

1. Meld u aan bij het Azure-portaal.

2. Voer in het zoekvak Microsoft Entra-id in en selecteer de overeenkomende servicevermelding.

3. Voer op de pagina Overzicht in het zoekvak voor Zoeken in uw tenant de toepassings-id in voor de service-principal die u wilt toewijzen uit de eerdere tabel.

4. Selecteer in de resultaten de overeenkomende bedrijfstoepassing voor de service-principal die u wilt toewijzen, te beginnen met Azure Virtual Desktop of Windows Virtual Desktop.

5. Noteer onder eigenschappen de naam en de object-id. De object-id correleert met de toepassings-id en is uniek voor uw tenant.

6. Voer in het zoekvak Abonnementen in en selecteer de overeenkomende servicevermelding.

7. Selecteer het abonnement waaraan u de roltoewijzing wilt toevoegen.

8. Selecteer Toegangsbeheer (IAM) en selecteer vervolgens + Toevoegen gevolgd door Roltoewijzing toevoegen.

9. Selecteer de rol die u wilt toewijzen aan de Azure Virtual Desktop-service-principal en selecteer vervolgens Volgende.

10. Zorg ervoor dat Toegang toewijzen is ingesteld op Microsoft Entra-gebruiker, -groep of -service-principal en selecteer vervolgens Leden selecteren.

11. Voer de naam in van de bedrijfstoepassing die u eerder hebt genoteerd.

12. Selecteer de overeenkomende vermelding in de resultaten en selecteer vervolgens Selecteren. Als u twee vermeldingen met dezelfde naam hebt, selecteert u beide voor nu.

13. Bekijk de lijst met leden in de tabel. Als u twee vermeldingen hebt, verwijdert u de vermelding die niet overeenkomt met de object-id die u eerder hebt genoteerd.

14. Selecteer Volgende en selecteer Vervolgens Beoordelen en toewijzen om de roltoewijzing te voltooien.

Azure PowerShell

U kunt als volgt een Azure RBAC-rol toewijzen aan een Azure Virtual Desktop-service-principal die is afgestemd op een abonnement met behulp van de PowerShell-module Az.DesktopVirtualization .

1. Open Azure Cloud Shell in Azure Portal met het PowerShell-terminaltype of voer PowerShell uit op uw lokale apparaat.

   • Als u Cloud Shell gebruikt, moet u ervoor zorgen dat uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

   • Als u PowerShell lokaal gebruikt, meldt u zich eerst aan met Azure PowerShell en controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

2. Zoek de id van het abonnement waaraan u de roltoewijzing wilt toevoegen door alle beschikbare abonnementen weer te geven met de volgende opdracht:

   Get-AzSubscription
   

3. Sla de abonnements-id op in een variabele door de volgende opdracht uit te voeren, waarbij u de abonnements-id in dit voorbeeld vervangt door uw eigen abonnements-id:

   $subId = "<SubscriptionID>"
   

4. Wijs de rol toe aan een Service-principal van Azure Virtual Desktop door de volgende opdracht uit te voeren, waarbij u de waarde voor de RoleDefinitionName parameter vervangt door de naam van de rol die u moet toewijzen en de parameter met de ApplicationId toepassings-id van de service-principal die u wilt toewijzen uit de eerdere tabel. In dit voorbeeld wordt de rol Inzender voor bureaubladvirtualisatie uitgeschakeld aan de service-principal van Azure Virtual Desktop in het abonnement:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   De uitvoer moet er ongeveer uitzien als in het volgende voorbeeld:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure-CLI

U kunt als volgt een Azure RBAC-rol toewijzen aan een Azure Virtual Desktop-service-principal die is afgestemd op een abonnement met behulp van de desktopvirtualisatie-extensie voor Azure CLI.

1. Open Azure Cloud Shell in Azure Portal met het Bash-terminaltype of voer de Azure CLI uit op uw lokale apparaat.

   • Als u Cloud Shell gebruikt, moet u ervoor zorgen dat uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

   • Als u de Azure CLI lokaal gebruikt, meldt u zich eerst aan met de Azure CLI en controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

2. Zoek de id van het abonnement waaraan u de roltoewijzing wilt toevoegen door alle beschikbare abonnementen weer te geven met de volgende opdracht:

   az account list --output table
   

3. Sla de waarde voor SubscriptionId op in een variabele door de volgende opdracht uit te voeren, waarbij u de abonnements-id in dit voorbeeld vervangt door uw eigen abonnements-id:

   subId=00000000-0000-0000-0000-000000000000
   

4. Wijs de rol toe aan een Service-principal van Azure Virtual Desktop door de volgende opdracht uit te voeren, waarbij u de waarde voor de role parameter vervangt door de naam van de rol die u moet toewijzen en de parameter met de assignee toepassings-id van de service-principal die u wilt toewijzen uit de eerdere tabel. In dit voorbeeld wordt de rol Inzender voor bureaubladvirtualisatie uitgeschakeld aan de service-principal van Azure Virtual Desktop in het abonnement:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   De uitvoer moet er ongeveer uitzien als in het volgende voorbeeld:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Een Microsoft Entra-rol toewijzen aan een Azure Virtual Desktop-service-principal

Als u een Microsoft Entra-rol wilt toewijzen aan een Azure Virtual Desktop-service-principal, selecteert u het relevante tabblad voor uw scenario en volgt u de stappen. In deze voorbeelden is het bereik van de roltoewijzing een Azure-abonnement, maar u moet het bereik en de rol gebruiken die voor elke functie is vereist.

U kunt als volgt een Microsoft Entra-rol toewijzen aan een Azure Virtual Desktop-service-principal die is gericht op een tenant met behulp van Azure Portal.

1. Meld u aan bij het Azure-portaal.

2. Voer in het zoekvak Microsoft Entra-id in en selecteer de overeenkomende servicevermelding.

3. Selecteer Rollen en beheerders.

4. Zoek en selecteer de naam van de rol die u wilt toewijzen. Als u een aangepaste rol wilt toewijzen, raadpleegt u Een aangepaste rol maken om deze eerst te maken.

5. Selecteer Toewijzingen toevoegen.

6. Voer in het zoekvak de toepassings-id in voor de service-principal die u wilt toewijzen uit de eerdere tabel, bijvoorbeeld 9cdead84-a844-4324-93f2-b2e6bb768d07.

7. Schakel het selectievakje naast de overeenkomende vermelding in en selecteer Vervolgens Toevoegen om de roltoewijzing te voltooien.

Volgende stappen

Meer informatie over de ingebouwde Azure RBAC-rollen voor Azure Virtual Desktop.