Asignación de roles RBAC de Azure o roles de Microsoft Entra a las entidades de servicio de Azure Virtual Desktop

Varias características de Azure Virtual Desktop requieren asignar roles de control de acceso basado en roles de Azure (RBAC de Azure) o roles de Microsoft Entra a una de las entidades de servicio de Azure Virtual Desktop. Entre las características que necesita asignar un rol a una entidad de servicio de Azure Virtual Desktop se incluyen:

• Conexión de aplicaciones (cuando use Azure Files y los hosts de sesión unidos a Microsoft Entra ID).
• Escalabilidad automática.
• Actualización del host de sesión
• Inicio de una máquina virtual en Connect.

Sugerencia

Puede encontrar el rol o roles que necesita asignar a la entidad de servicio del artículo para cada característica. Para obtener una lista de todos los roles RBAC de Azure disponibles específicamente para Azure Virtual Desktop, consulte Roles RBAC integrados de Azure para Azure Virtual Desktop. Para más información sobre Azure RBAC, consulte Documentación sobre Azure RBAC o en el caso de los roles de Microsoft Entra, consulte Documentación sobre los roles de Microsoft Entra.

En función de cuándo registró el proveedor de recursos de Microsoft.DesktopVirtualization, los nombres de entidad de seguridad de servicio comienzan por Azure Virtual Desktop o Windows Virtual Desktop. Además, si ya ha usado anteriormente tanto Azure Virtual Desktop clásico como Azure Virtual Desktop (Azure Resource Manager), verá aplicaciones con el mismo nombre. Puede asegurarse de que va a asignar roles a la entidad de servicio correcta comprobando el identificador de aplicación. El identificador de aplicación de cada entidad de servicio se encuentra en la siguiente tabla:

Entidad de servicio	Identificador de la aplicación
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

Este artículo le muestra cómo asignar los roles de RBAC de Azure o los roles de Microsoft Entra a las entidades de servicio de Azure Virtual Desktop correctas usando el portal Azure, la CLI de Azure o Azure PowerShell.

Requisitos previos

Antes de poder asignar un rol a una entidad de servicio Azure Virtual Desktop, debe cumplir los siguientes requisitos previos:

• Para asignar roles de Azure RBAC, debe tener el permiso Microsoft.Authorization/roleAssignments/write para una suscripción de Azure con el fin de asignar roles en esa suscripción. Este permiso forma parte de los roles incorporados Propietario o Administrador de acceso de usuario.

• Para asignar roles de Microsoft Entra, debe tener el rol Administrador de roles con privilegios o Administrador global.

• Si quiere usar Azure PowerShell o la CLI de Azure localmente, consulte Uso de la CLI de Azure y Azure PowerShell con Azure Virtual Desktop para asegurarse de que tiene instalado el módulo de PowerShell Az.DesktopVirtualization o la extensión de la CLI de Azure desktopvirtualization. Como alternativa, puede usar Azure Cloud Shell.

Asignación de un rol RBAC de Azure a una entidad de servicio de Azure Virtual Desktop

Para asignar un rol RBAC de Azure a una entidad de servicio de Azure Virtual Desktop, seleccione la pestaña correspondiente a su escenario y siga los pasos. En estos ejemplos, el ámbito de la asignación de funciones es una suscripción de Azure, pero tiene que utilizar el ámbito y la función requeridos por cada función.

Azure Portal

A continuación se explica cómo asignar un rol RBAC de Azure a una entidad de servicio de Azure Virtual Desktop con ámbito de una suscripción usando Azure Portal.

1. Inicie sesión en Azure Portal.

2. En la barra de búsqueda, escriba Microsoft Entra ID y seleccione la entrada de servicio coincidente.

3. En la página Información general, en el cuadro de búsqueda Buscar en el inquilino, escriba el identificador de aplicación de la entidad de servicio que desea asignar desde la tabla anterior.

4. En los resultados, seleccione la aplicación empresarial coincidente para la entidad de servicio que quiere asignar, empezando por Azure Virtual Desktop o Windows Virtual Desktop.

5. En Propiedades, anote el nombre y el identificador de objeto. El ID del objeto está relacionado con el ID de la aplicación y es exclusivo de su inquilino.

6. Vuelva al cuadro de búsqueda, introduzca Suscripciones y seleccione la entrada de servicio correspondiente.

7. Seleccione la suscripción a la que desea agregar la asignación de funciones.

8. Seleccione Control de acceso (IAM), a continuación seleccione +Agregar seguido de Agregar asignación de funciones.

9. Seleccione el rol que desee asignar a la entidad de servicio Azure Virtual Desktop y, a continuación, seleccione Siguiente.

10. Asegúrese de que Asignar acceso a está configurado como Usuario, grupo o entidad principal de servicio de Microsoft Entra y, a continuación, seleccione Seleccionar miembros.

11. Escriba el nombre de la aplicación empresarial que anotó anteriormente.

12. Seleccione la entrada correspondiente de los resultados y seleccione Seleccionar. Si tiene dos entradas con el mismo nombre, seleccione ambas por ahora.

13. Revise la lista de miembros en la tabla. Si tiene dos entradas, elimine la entrada que no coincide con el ID de objeto que anotó anteriormente.

14. Seleccione Siguiente y, a continuación, seleccione Revisar + asignar para completar la asignación de roles.

Azure PowerShell

A continuación se explica cómo asignar un rol RBAC de Azure a una entidad de servicio de Azure Virtual Desktop asignada a una suscripción utilizando el módulo Az.DesktopVirtualization de PowerShell.

1. Abra Azure Cloud Shell en Azure Portal con el tipo de terminal de PowerShell o ejecute PowerShell en el dispositivo local.

   • Si usa Cloud Shell, asegúrese de que el contexto de Azure de esté establecido en la suscripción que desea usar.

   • Si usa PowerShell localmente, primero inicie sesión con Azure PowerShell y asegúrese de que el contexto de Azure esté establecido en la suscripción que desea usar.

2. Busque el ID de la suscripción a la que quiere añadir la asignación de roles listando todas las que están a su disposición con el siguiente comando:

   Get-AzSubscription
   

3. Almacene el ID de suscripción en una variable mediante la ejecución del siguiente comando, sustituyendo el ID de suscripción de este ejemplo por el suyo propio:

   $subId = "<SubscriptionID>"
   

4. Asigne el rol a una entidad de servicio de Azure Virtual Desktop ejecutando el siguiente comando, reemplazando el valor del parámetro RoleDefinitionName por el nombre del rol que necesita asignar y el parámetro ApplicationId con el identificador de aplicación de la entidad de servicio que desea asignar desde la tabla anterior. En este ejemplo se asigna el rol Colaborador de encendido/apagado de virtualización de escritorio a la entidad de servicio de Azure Virtual Desktop en la suscripción:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   La salida debe ser similar al ejemplo siguiente:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

CLI de Azure

A continuación se explica cómo asignar un rol RBAC de Azure a una entidad de servicio de Azure Virtual Desktop asignada a una suscripción utilizando la extensión desktopvirtualization para la CLI de Azure.

1. Abra Azure Cloud Shell en Azure Portal con el tipo de terminalBash o ejecute la CLI de Azure en el dispositivo local.

   • Si usa Cloud Shell, asegúrese de que el contexto de Azure de esté establecido en la suscripción que desea usar.

   • Si usa la CLI de Azure localmente, primero inicie sesión con la CLI de Azure y asegúrese de que el contexto de Azure esté establecido en la suscripción que desea usar.

2. Busque el ID de la suscripción a la que quiere añadir la asignación de roles listando todas las que están a su disposición con el siguiente comando:

   az account list --output table
   

3. Almacene el valor de SubscriptionId en una variable mediante la ejecución del siguiente comando, en el que sustituirá el ID de suscripción de este ejemplo por el suyo propio:

   subId=00000000-0000-0000-0000-000000000000
   

4. Asigne el rol a una entidad de servicio de Azure Virtual Desktop ejecutando el siguiente comando, reemplazando el valor del parámetro role por el nombre del rol que necesita asignar y el parámetro assignee con el identificador de aplicación de la entidad de servicio que desea asignar desde la tabla anterior. En este ejemplo se asigna el rol Colaborador de encendido/apagado de virtualización de escritorio a la entidad de servicio de Azure Virtual Desktop en la suscripción:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   La salida debe ser similar al ejemplo siguiente:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Asignación de un rol de Microsoft Entra a una entidad de servicio de Azure Virtual Desktop

Para asignar un rol de Microsoft Entra a una entidad de servicio de Azure Virtual Desktop, seleccione la pestaña correspondiente a su escenario y siga los pasos. En estos ejemplos, el ámbito de la asignación de funciones es una suscripción de Azure, pero tiene que utilizar el ámbito y la función requeridos por cada función.

A continuación se explica cómo asignar un rol de Microsoft Entra a una entidad de servicio de Azure Virtual Desktop con ámbito de un inquilino usando Azure Portal.

1. Inicie sesión en Azure Portal.

2. En la barra de búsqueda, escriba Microsoft Entra ID y seleccione la entrada de servicio coincidente.

3. Seleccione Roles y administradores.

4. Busque y seleccione el nombre del rol que desea asignar. Si quiere asignar un rol personalizado, consulte Creación de un rol personalizado para crearlo primero.

5. Seleccione Agregar asignaciones.

6. En el cuadro de búsqueda, escriba el id. de aplicación de la entidad de seguridad que quiere asignar de la tabla anterior, por ejemplo 9cdead84-a844-4324-93f2-b2e6bb768d07.

7. Marque la casilla situada junto a la entrada correspondiente y después seleccione Añadir para finalizar la asignación del rol.

Pasos siguientes

Más información sobre los roles integrados en Azure RBAC para Azure Virtual Desktop.