Azure Sanal Masaüstü hizmet sorumlularına RBAC rolleri atama

Çeşitli Azure Sanal Masaüstü özellikleri, Azure rol tabanlı erişim denetimi (Azure RBAC) rollerini Azure Sanal Masaüstü hizmet sorumlularından birine atamanızı gerektirir. Azure Sanal Masaüstü hizmet sorumlusuna rol atamanız gereken özellikler şunlardır:

• Otomatik ölçeklendirme.
• VM'Bağlan başlatın.
• Uygulama ekleme (Azure Dosyalar kullanırken ve oturum konaklarınız Microsoft Entra Id'ye katılmışsa).

Bahşiş

Her özellik için makalede hangi rolü atamanız gerektiğini bulabilirsiniz. Azure Sanal Masaüstü için özel olarak kullanılabilen tüm rollerin listesi için bkz . Azure Sanal Masaüstü için yerleşik Azure RBAC rolleri Azure RBAC hakkında daha fazla bilgi edinmek için Bkz . Azure RBAC belgeleri.

Microsoft.DesktopVirtualization kaynak sağlayıcısını ne zaman kaydettiğinize bağlı olarak, hizmet sorumlusu adları Azure Sanal Masaüstü veya Windows Sanal Masaüstü ile başlar. Hem Azure Sanal Masaüstü Klasik hem de Azure Sanal Masaüstü (Azure Resource Manager) kullandıysanız, aynı ada sahip uygulamalar görürsünüz. Uygulama kimliğini denetleyerek rolleri doğru hizmet sorumlusuna atadığınızdan emin olabilirsiniz. Her hizmet sorumlusunun uygulama kimliği aşağıdaki tabloda yer alır:

Hizmet sorumlusu	Uygulama Kimliği
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

Bu makalede, Azure portalı, Azure CLI veya Azure PowerShell kullanarak doğru Azure Sanal Masaüstü hizmet sorumlularına nasıl rol atayabileceğiniz gösterilmektedir.

Önkoşullar

Azure Sanal Masaüstü hizmet sorumlusuna rol atayabilmeniz için önce aşağıdaki önkoşulları karşılamanız gerekir:

• Bu abonelikte Microsoft.Authorization/roleAssignments/write rol atamak için Bir Azure aboneliğine izin vermelisiniz. Bu izin, yerleşik roller Yönetici Sahip veya Kullanıcı Erişimi'nin bir parçasıdır.

• Azure PowerShell veya Azure CLI'yı yerel olarak kullanmak istiyorsanız Az.DesktopVirtualization PowerShell modülünün veya desktopvirtualization Azure CLI uzantısının yüklü olduğundan emin olmak için bkz. Azure Sanal Masaüstü ile Azure CLI ve Azure PowerShell kullanma. Alternatif olarak Azure Cloud Shell'i de kullanabilirsiniz.

Azure Sanal Masaüstü hizmet sorumlusuna rol atama

Azure Sanal Masaüstü hizmet sorumlusuna rol atamak için senaryonuza uygun sekmeyi seçin ve adımları izleyin. Bu örneklerde rol atamasının kapsamı bir Azure aboneliğidir, ancak her özelliğin gerektirdiği kapsamı ve rolü kullanmanız gerekir.

Portal

Azure portalını kullanarak Azure Sanal Masaüstü hizmet sorumlusuna rol atama burada açıklanmaktadır.

1. Azure Portal oturum açın.

2. Arama kutusuna Microsoft Entra Id yazın ve eşleşen hizmet girişini seçin.

3. Genel Bakış sayfasındaki Kiracınızda arama yapın arama kutusuna, önceki tablodan atamak istediğiniz hizmet sorumlusunun uygulama kimliğini girin.

4. Sonuçlarda, Azure Sanal Masaüstü veya Windows Sanal Masaüstü'nü başlatarak atamak istediğiniz hizmet sorumlusu için eşleşen kurumsal uygulamayı seçin.

5. Özellikler'in altında adı ve nesne kimliğini not edin. Nesne kimliği, uygulama kimliğiyle ilişkilendirilir ve kiracınıza özeldir.

6. Arama kutusuna Abonelikler yazın ve eşleşen hizmet girişini seçin.

7. Rol atamasını eklemek istediğiniz aboneliği seçin.

8. Erişim denetimi (IAM) öğesini ve ardından + Ekle'yi ve ardından Rol ataması ekle'yi seçin.

9. Azure Sanal Masaüstü hizmet sorumlusuna atamak istediğiniz rolü seçin ve ardından İleri'yi seçin.

10. Erişim ata seçeneğinin Microsoft Entra kullanıcısı, grubu veya hizmet sorumlusu olarak ayarlandığından emin olun ve Üye seç'i seçin.

11. Daha önce not ettiğiniz kurumsal uygulamanın adını girin.

12. Sonuçlardan eşleşen girdiyi ve ardından Seç'i seçin. Aynı ada sahip iki girdiniz varsa şimdilik ikisini de seçin.

13. Tablodaki üye listesini gözden geçirin. İki girdiniz varsa, daha önce not ettiğiniz nesne kimliğiyle eşleşmeyen girdiyi kaldırın.

14. rol atamasını tamamlamak için İleri'yi ve ardından Gözden Geçir ve ata'yı seçin.

Azure PowerShell

Az.DesktopVirtualization PowerShell modülünü kullanarak Azure Sanal Masaüstü hizmet sorumlusuna rol atama burada açıklanmaktadır.

1. Azure portalında PowerShell terminal türüyle Azure Cloud Shell'ibaşlatın veya yerel cihazınızda PowerShell'i çalıştırın.

   1. Cloud Shell kullanıyorsanız Azure bağlamınızın kullanmak istediğiniz aboneliğe ayarlandığından emin olun.

   2. PowerShell'i yerel olarak kullanıyorsanız, önce Azure PowerShell ile oturum açın, ardından Azure bağlamınızın kullanmak istediğiniz aboneliğe ayarlandığından emin olun.

2. Rol atamasını eklemek istediğiniz aboneliğin kimliğini bulmak için kullanabileceğiniz tüm özellikleri aşağıdaki komutla listeleyin:

   Get-AzSubscription
   

3. Aşağıdaki komutu çalıştırarak abonelik kimliğini bir değişkende depolayın ve bu örnekteki abonelik kimliğini kendinizle değiştirin:

   $subId = "00000000-0000-0000-0000-000000000000"
   

4. Aşağıdaki komutu çalıştırarak rolü bir Azure Sanal Masaüstü hizmet sorumlusuna atayın, parametresinin değerini RoleDefinitionName atamanız gereken rolün adıyla ve ApplicationId parametresini de önceki tablodan atamak istediğiniz hizmet sorumlusunun uygulama kimliğiyle değiştirerek atayın. Bu örnek, abonelikte Azure Sanal Masaüstü hizmet sorumlusuna Masaüstü Sanallaştırma Açık Kapalı Katkıda Bulunan rolünü atar:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   Çıkışınız aşağıdaki örneğe benzer olmalıdır:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure CLI

Azure CLI için masaüstü etkinleştirme uzantısını kullanarak Azure Sanal Masaüstü hizmet sorumlusuna rol atama burada açıklanmaktadır.

1. Azure portalında Bash terminal türüyle Azure Cloud Shell'i başlatın veya yerel cihazınızda Azure CLI'yı çalıştırın.

   1. Cloud Shell kullanıyorsanız Azure bağlamınızın kullanmak istediğiniz aboneliğe ayarlandığından emin olun.

   2. Azure CLI'yi yerel olarak kullanıyorsanız, önce Azure CLI ile oturum açın, ardından Azure bağlamınızın kullanmak istediğiniz aboneliğe ayarlandığından emin olun.

2. Rol atamasını eklemek istediğiniz aboneliğin kimliğini bulmak için kullanabileceğiniz tüm özellikleri aşağıdaki komutla listeleyin:

   az account list --output table
   

3. Aşağıdaki komutu çalıştırarak, bu örnekteki abonelik kimliğini kendinizle değiştirerek SubscriptionId değerini bir değişkende depolayın:

   subId=00000000-0000-0000-0000-000000000000
   

4. Aşağıdaki komutu çalıştırarak rolü bir Azure Sanal Masaüstü hizmet sorumlusuna atayın, parametresinin değerini role atamanız gereken rolün adıyla ve assignee parametresini de önceki tablodan atamak istediğiniz hizmet sorumlusunun uygulama kimliğiyle değiştirerek atayın. Bu örnek, abonelikte Azure Sanal Masaüstü hizmet sorumlusuna Masaüstü Sanallaştırma Açık Kapalı Katkıda Bulunan rolünü atar:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   Çıkışınız aşağıdaki örneğe benzer olmalıdır:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Sonraki adımlar

Azure Sanal Masaüstü için yerleşik Azure RBAC rolleri hakkında daha fazla bilgi edinin.