Azure RBAC-rollen of Microsoft Entra-rollen toewijzen aan de Azure Virtual Desktop-service-principals

Voor verschillende Azure Virtual Desktop-functies moet u rollen voor op rollen gebaseerd toegangsbeheer (Azure RBAC) toewijzen of Microsoft Entra rollen toewijzen aan een van de Azure Virtual Desktop-service-principals. Functies die u nodig hebt om een rol toe te wijzen aan een Azure Virtual Desktop-service-principal zijn onder andere:

• App-koppeling (bij gebruik van Azure Files en uw sessiehosts die zijn gekoppeld aan Microsoft Entra ID).
• Automatisch schalen.
• Sessiehost bijwerken
• Vm starten op Verbinding maken.

Tip

U vindt in het artikel voor elke functie welke rol of rollen u moet toewijzen aan welke service-principal. Zie Ingebouwde Azure RBAC-rollen voor Azure Virtual Desktop voor een lijst met alle beschikbare Azure RBAC-rollen die specifiek zijn gemaakt voor Azure Virtual Desktop. Zie Microsoft Entra rollendocumentatie voor meer informatie over Microsoft Entra rollen.

Afhankelijk van wanneer u de resourceprovider Microsoft.DesktopVirtualization hebt geregistreerd, beginnen de service-principalnamen met Azure Virtual Desktop of Windows Virtual Desktop. Als u eerder zowel de klassieke Versie van Azure Virtual Desktop als Azure Virtual Desktop (Azure Resource Manager) hebt gebruikt, ziet u ook apps met dezelfde naam. U kunt ervoor zorgen dat u rollen toewijst aan de juiste service-principal door de toepassings-id te controleren. De toepassings-id voor elke service-principal bevindt zich in de volgende tabel:

Service-principal	Toepassings-id
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

In dit artikel wordt beschreven hoe u Azure RBAC-rollen of Microsoft Entra-rollen toewijst aan de juiste Azure Virtual Desktop-service-principals met behulp van de Azure Portal, Azure CLI of Azure PowerShell.

Vereisten

Voordat u een rol kunt toewijzen aan een Azure Virtual Desktop-service-principal, moet u aan de volgende vereisten voldoen:

• Als u Azure RBAC-rollen wilt toewijzen, moet u beschikken over de Microsoft.Authorization/roleAssignments/write machtiging voor een Azure-abonnement om rollen toe te wijzen aan dat abonnement. Deze machtiging maakt deel uit van de ingebouwde rollen Eigenaar of Beheerder voor gebruikerstoegang .

• Als u Microsoft Entra rollen wilt toewijzen, moet u beschikken over de beheerder van de bevoorrechte rol of een equivalent.

• Als u Azure PowerShell of Azure CLI lokaal wilt gebruiken, raadpleegt u Azure CLI en Azure PowerShell gebruiken met Azure Virtual Desktop om ervoor te zorgen dat u de PowerShell-module Az.DesktopVirtualization of desktopvirtualization Azure CLI-extensie hebt geïnstalleerd. U kunt ook de Azure Cloud Shell gebruiken.

Een Azure RBAC-rol toewijzen aan een Azure Virtual Desktop-service-principal

Als u een Azure RBAC-rol wilt toewijzen aan een Azure Virtual Desktop-service-principal, selecteert u het relevante tabblad voor uw scenario en volgt u de stappen. In deze voorbeelden is het bereik van de roltoewijzing een Azure-abonnement, maar moet u het bereik en de rol gebruiken die voor elke functie zijn vereist.

Azure Portal

U kunt als volgt een Azure RBAC-rol toewijzen aan een Azure Virtual Desktop-service-principal met het bereik van een abonnement met behulp van de Azure Portal.

1. Meld u aan bij Azure Portal.

2. Voer in het zoekvak Microsoft Entra ID in en selecteer de overeenkomende servicevermelding.

3. Voer op de pagina Overzicht in het zoekvak voor Uw tenant doorzoeken de toepassings-id in voor de service-principal die u uit de eerdere tabel wilt toewijzen.

4. Selecteer in de resultaten de overeenkomende bedrijfstoepassing voor de service-principal die u wilt toewijzen, te beginnen met Azure Virtual Desktop of Windows Virtual Desktop.

5. Noteer onder eigenschappen de naam en de object-id. De object-id correleert met de toepassings-id en is uniek voor uw tenant.

6. Terug in het zoekvak, voer Abonnementen in en selecteer de overeenkomende servicevermelding.

7. Selecteer het abonnement waaraan u de roltoewijzing wilt toevoegen.

8. Selecteer Toegangsbeheer (IAM) en selecteer vervolgens + Toevoegen gevolgd door Roltoewijzing toevoegen.

9. Selecteer de rol die u wilt toewijzen aan de Azure Virtual Desktop-service-principal en selecteer vervolgens Volgende.

10. Zorg ervoor dat Toegang toewijzen aan is ingesteld op Microsoft Entra gebruiker, groep of service-principal en selecteer vervolgens Leden selecteren.

11. Voer de naam in van de bedrijfstoepassing die u eerder hebt genoteerd.

12. Selecteer de overeenkomende vermelding in de resultaten en selecteer vervolgens Selecteren. Als u twee vermeldingen met dezelfde naam hebt, selecteert u deze voorlopig beide.

13. Bekijk de lijst met leden in de tabel. Als u twee vermeldingen hebt, verwijdert u de vermelding die niet overeenkomt met de object-id die u eerder hebt genoteerd.

14. Selecteer Volgende en selecteer vervolgens Beoordelen en toewijzen om de roltoewijzing te voltooien.

Azure PowerShell

U kunt als volgt een Azure RBAC-rol toewijzen aan een Azure Virtual Desktop-service-principal met het bereik van een abonnement met behulp van de PowerShell-module Az.DesktopVirtualization .

1. Open Azure Cloud Shell in de Azure Portal met het PowerShell-terminaltype of voer PowerShell uit op uw lokale apparaat.

   • Als u Cloud Shell gebruikt, controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

   • Als u PowerShell lokaal gebruikt, meldt u zich eerst aan met Azure PowerShell en controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

2. Zoek de id van het abonnement waaraan u de roltoewijzing wilt toevoegen door alle beschikbare items weer te geven met de volgende opdracht:

   Get-AzSubscription
   

3. Sla de abonnements-id op in een variabele door de volgende opdracht uit te voeren, waarbij u de abonnements-id in dit voorbeeld vervangt door uw eigen abonnements-id:

   $subId = "<SubscriptionID>"
   

4. Wijs de rol toe aan een Azure Virtual Desktop-service-principal door de volgende opdracht uit te voeren, waarbij u de waarde voor de RoleDefinitionName parameter vervangt door de naam van de rol die u wilt toewijzen en de parameter door de ApplicationId toepassings-id van de service-principal die u uit de eerdere tabel wilt toewijzen. In dit voorbeeld wordt de rol Power On Off-inzender voor bureaubladvirtualisatie toegewezen aan de Azure Virtual Desktop-service-principal voor het abonnement:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   De uitvoer moet er ongeveer uitzien als in het volgende voorbeeld:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure CLI

U kunt als volgt een Azure RBAC-rol toewijzen aan een Azure Virtual Desktop-service-principal die is afgestemd op een abonnement met behulp van de extensie desktopvirtualization voor Azure CLI.

1. Open Azure Cloud Shell in de Azure Portal met het Bash-terminaltype of voer de Azure CLI uit op uw lokale apparaat.

   • Als u Cloud Shell gebruikt, controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

   • Als u de Azure CLI lokaal gebruikt, meldt u zich eerst aan met de Azure CLI en controleert u of uw Azure-context is ingesteld op het abonnement dat u wilt gebruiken.

2. Zoek de id van het abonnement waaraan u de roltoewijzing wilt toevoegen door alle beschikbare items weer te geven met de volgende opdracht:

   az account list --output table
   

3. Sla de waarde voor SubscriptionId op in een variabele door de volgende opdracht uit te voeren, waarbij u de abonnements-id in dit voorbeeld vervangt door uw eigen abonnements-id:

   subId=00000000-0000-0000-0000-000000000000
   

4. Wijs de rol toe aan een Azure Virtual Desktop-service-principal door de volgende opdracht uit te voeren, waarbij u de waarde voor de role parameter vervangt door de naam van de rol die u wilt toewijzen en de parameter door de assignee toepassings-id van de service-principal die u uit de eerdere tabel wilt toewijzen. In dit voorbeeld wordt de rol Power On Off-inzender voor bureaubladvirtualisatie toegewezen aan de Azure Virtual Desktop-service-principal voor het abonnement:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   De uitvoer moet er ongeveer uitzien als in het volgende voorbeeld:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Een Microsoft Entra rol toewijzen aan een Azure Virtual Desktop-service-principal

Als u een Microsoft Entra rol wilt toewijzen aan een Azure Virtual Desktop-service-principal, selecteert u het relevante tabblad voor uw scenario en volgt u de stappen. In deze voorbeelden is het bereik van de roltoewijzing een Azure-abonnement, maar moet u het bereik en de rol gebruiken die voor elke functie zijn vereist.

U kunt als volgt een Microsoft Entra rol toewijzen aan een Azure Virtual Desktop-service-principal met het bereik van een tenant met behulp van de Azure Portal.

1. Meld u aan bij Azure Portal.

2. Voer in het zoekvak Microsoft Entra ID in en selecteer de overeenkomende servicevermelding.

3. Selecteer Rollen en beheerders.

4. Zoek en selecteer de naam van de rol die u wilt toewijzen. Als u een aangepaste rol wilt toewijzen, raadpleegt u Een aangepaste rol maken om deze eerst te maken.

5. Selecteer Toewijzingen toevoegen.

6. Voer in het zoekvak de toepassings-id in voor de service-principal die u wilt toewijzen uit de eerdere tabel, bijvoorbeeld 9cdead84-a844-4324-93f2-b2e6bb768d07.

7. Schakel het selectievakje naast de overeenkomende vermelding in en selecteer vervolgens Toevoegen om de roltoewijzing te voltooien.

Volgende stappen

Meer informatie over de ingebouwde Azure RBAC-rollen voor Azure Virtual Desktop.