Atribuir funções RBAC às entidades de serviço da Área de Trabalho Virtual do Azure

Vários recursos da Área de Trabalho Virtual do Azure exigem que você atribua funções de controle de acesso baseado em função do Azure (RBAC do Azure) a uma das entidades de serviço da Área de Trabalho Virtual do Azure. Os recursos que você precisa para atribuir uma função a uma entidade de serviço da Área de Trabalho Virtual do Azure incluem:

• Dimensionamento automático.
• Inicie a VM no Connect.
• Anexação de aplicativo (ao usar Arquivos do Azure e seus hosts de sessão ingressados na ID do Microsoft Entra).

Dica

Você pode encontrar qual função precisa atribuir a qual entidade de serviço no artigo para cada recurso. Para obter uma lista de todas as funções disponíveis especificamente para a Área de Trabalho Virtual do Azure, consulte Funções RBAC internas do Azure para Área de Trabalho Virtual do Azure Para saber mais sobre o RBAC do Azure, consulte a documentação do RBAC do Azure.

Dependendo de quando você registrou o provedor de recursos Microsoft.DesktopVirtualization, os nomes da entidade de serviço começam com a Área de Trabalho Virtual do Azure ou a Área de Trabalho Virtual do Windows. Se você usou a Área de Trabalho Virtual Clássica do Azure e uma Área de Trabalho Virtual do Azure (Gerenciador de Recursos do Azure), verá aplicativos com o mesmo nome. Você pode verificar se está atribuindo funções à entidade de serviço correta verificando sua ID de aplicativo. A ID do aplicativo para cada entidade de serviço está na tabela a seguir:

Entidade de serviço	ID do aplicativo
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

Este artigo mostra como atribuir uma função às entidades de serviço de Área de Trabalho Virtual do Azure corretas usando o portal do Azure, a CLI do Azure ou o Azure PowerShell.

Pré-requisitos

Antes de atribuir uma função a uma entidade de serviço da Área de Trabalho Virtual do Azure, você precisa atender aos seguintes pré-requisitos:

• Você deve ter a permissão Microsoft.Authorization/roleAssignments/write para uma assinatura do Azure para atribuir funções nessa assinatura. Essa permissão deve ser parte das funções internas Proprietário ou Administrador de Acesso do Usuário.

• Se você quiser usar o Azure PowerShell ou a CLI do Azure localmente, consulte Usar a CLI do Azure e o Azure PowerShell com a Área de Trabalho Virtual do Azure para garantir que você tenha o módulo do PowerShell Az.DesktopVirtualization ou a extensão da CLI do Azure de virtualização de área de trabalho instalada. Como alternativa, use o Azure Cloud Shell.

Atribuir uma função a uma entidade de serviço da Área de Trabalho Virtual do Azure

Para atribuir uma função a uma entidade de serviço de Área de Trabalho Virtual do Azure, selecione a guia relevante para seu cenário e siga as etapas. Nesses exemplos, o escopo da atribuição de função é uma assinatura do Azure, mas você precisa usar o escopo e a função exigidos por cada recurso.

Portal

Veja como atribuir uma função a uma entidade de serviço da Área de Trabalho Virtual do Azure usando o portal do Azure.

1. Entre no portal do Azure.

2. Na caixa de pesquisa, insira Microsoft Entra ID e selecione a entrada de serviço correspondente.

3. Na página Visão geral, na caixa de pesquisa Pesquisar seu locatário, insira a ID do aplicativo para a entidade de serviço que você deseja atribuir da tabela anterior.

4. Nos resultados, selecione o aplicativo corporativo correspondente para a entidade de serviço que você deseja atribuir, iniciando a Área de Trabalho Virtual do Azure ou a Área de Trabalho Virtual do Windows.

5. Em propriedades, anote o nome e a ID do objeto. A ID do objeto correlaciona-se à ID do aplicativo e é exclusiva do seu locatário.

6. Na caixa de pesquisa, insira Assinaturas e selecione a entrada de serviço correspondente.

7. Selecione a assinatura à qual você deseja adicionar a atribuição de função.

8. Selecione Controle de acesso (IAM) e escolha + Adicionar seguido por Adicionar atribuição de função.

9. Selecione a função que você deseja atribuir à entidade de serviço da Área de Trabalho Virtual do Azure e selecione Avançar.

10. Certifique-se de que Atribuir acesso a esteja definido como Usuário, grupo ou entidade de serviço do Microsoft Entra e selecione Selecionar membros.

11. Insira o nome do aplicativo corporativo que você anotou anteriormente.

12. Selecione a entrada correspondente nos resultados e selecione Selecionar. Se você tiver duas entradas com o mesmo nome, selecione-as por enquanto.

13. Examine a lista de membros na tabela. Se você tiver duas entradas, remova a entrada que não corresponde à ID do objeto que você anotou anteriormente.

14. Selecione Próximo e depois selecione Examinar + atribuir para concluir a operação de atribuição de função.

PowerShell do Azure

Veja como atribuir uma função a uma entidade de serviço da Área de Trabalho Virtual do Azure usando o módulo do PowerShell Az.DesktopVirtualization .

1. Inicie o Azure Cloud Shell no portal do Azure com o tipo de terminal do PowerShell, ou execute o PowerShell em seu dispositivo local.

   1. Se você estiver usando o Cloud Shell, verifique se o contexto do Azure está definido para a assinatura que você deseja usar.

   2. Se estiver usando a CLI do o PowerShell localmente, primeiro Entre com o Azure PowerShell e verifique se o contexto do Azure está definido como a assinatura que você deseja usar.

2. Localize o ID da assinatura à qual você deseja adicionar a atribuição de função listando tudo o que está disponível para você com o seguinte comando:

   Get-AzSubscription
   

3. Armazene a ID da assinatura em uma variável executando o seguinte comando, substituindo a ID da assinatura neste exemplo pela sua própria:

   $subId = "00000000-0000-0000-0000-000000000000"
   

4. Atribua a função a uma entidade de serviço da Área de Trabalho Virtual do Azure executando o comando a seguir, substituindo o valor do RoleDefinitionName parâmetro pelo nome da função que você precisa atribuir e o ApplicationId parâmetro pela ID do aplicativo da entidade de serviço que você deseja atribuir da tabela anterior. Este exemplo atribui a função de Colaborador Power On Off da Virtualização de Área de Trabalho à entidade de serviço da Área de Trabalho Virtual do Azure na assinatura:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   Sua saída deve ser semelhante ao exemplo a seguir:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

CLI do Azure

Veja como atribuir uma função a uma entidade de serviço da Área de Trabalho Virtual do Azure usando a extensão de virtualização de área de trabalho para a CLI do Azure.

1. Inicie o Azure Cloud Shell no portal do Azure com o tipo de terminal Bash, ou execute a CLI do Azure em seu dispositivo local.

   1. Se você estiver usando o Cloud Shell, verifique se o contexto do Azure está definido para a assinatura que você deseja usar.

   2. Se estiver usando a CLI do Azure localmente, primeiro Entre com a CLI do Azure e verifique se o contexto do Azure está definido como a assinatura que você deseja usar.

2. Localize o ID da assinatura à qual você deseja adicionar a atribuição de função listando tudo o que está disponível para você com o seguinte comando:

   az account list --output table
   

3. Armazene o valor de SubscriptionId em uma variável executando o seguinte comando, substituindo a ID da assinatura neste exemplo pela sua própria:

   subId=00000000-0000-0000-0000-000000000000
   

4. Atribua a função a uma entidade de serviço da Área de Trabalho Virtual do Azure executando o comando a seguir, substituindo o valor do role parâmetro pelo nome da função que você precisa atribuir e o assignee parâmetro pela ID do aplicativo da entidade de serviço que você deseja atribuir da tabela anterior. Este exemplo atribui a função de Colaborador Power On Off da Virtualização de Área de Trabalho à entidade de serviço da Área de Trabalho Virtual do Azure na assinatura:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   Sua saída deve ser semelhante ao exemplo a seguir:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Próximas etapas

Saiba mais sobre as funções internas do RBAC do Azure para a Área de Trabalho Virtual do Azure.