Attribuer des rôles RBAC Azure ou Microsoft Entra aux principaux de service Azure Virtual Desktop
Plusieurs fonctionnalités d’Azure Virtual Desktop vous obligent à attribuer des rôles de contrôle d’accès en fonction du rôle Azure (RBAC Azure) ou Microsoft Entra à l’un des principaux de service d’Azure Virtual Desktop. Voici les fonctionnalités pour lesquelles vous devez attribuer un rôle au principal du service d’Azure Virtual Desktop :
- Attachement d’application (lorsque vous utilisez Azure Files et vos hôtes de session joints à Microsoft Entra ID).
- Mise à l’échelle automatique.
- Mise à jour des hôtes de session
- Démarrez la machine virtuelle sur Connect.
Conseil
Vous trouverez le ou les rôles que vous devez attribuer à un principal de service dans l’article correspondant à chaque fonctionnalité. Si vous souhaitez obtenir la liste de tous les rôles RBAC Azure créés spécifiquement pour Azure Virtual Desktop, consultez Rôles RBAC Azure intégrés pour Azure Virtual Desktop. Pour découvrir plus d’informations sur RBAC Azure, consultez Documentation RBAC Azure ou voir Documentation sur les rôles Microsoft Entra pour les rôles Microsoft Entra.
En fonction du moment où vous avez enregistré le fournisseur de ressource Microsoft.DesktopVirtualization, les noms du principal du service commencent par Azure Virtual Desktop ou Windows Virtual Desktop. De plus, si vous avez déjà utilisé Azure Virtual Desktop classic et Azure Virtual Desktop (Azure Resource Manager), vous verrez des applications portant le même nom. Vous pouvez veiller à attribuer des rôles au principal du service approprié en vérifiant son ID d’application. L’ID d’application de chaque principal du service se trouve dans la table suivante :
Principal du service | ID de l’application |
---|---|
Azure Virtual Desktop Windows Virtual Desktop |
9cdead84-a844-4324-93f2-b2e6bb768d07 |
Azure Virtual Desktop Client Windows Virtual Desktop Client |
a85cf173-4192-42f8-81fa-777a763e6e2c |
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider |
50e95039-b200-4007-bc97-8d5790743a63 |
Cet article vous montre comment attribuer des rôles RBAC Azure ou Microsoft Entra aux principaux de service corrects d’Azure Virtual Desktop en utilisant le Portail Azure, Azure CLI ou Azure PowerShell.
Prérequis
Avant de pouvoir attribuer un rôle à un principal du service d’Azure Virtual Desktop, vous devez respecter les conditions préalables suivantes :
Pour attribuer des rôles RBAC Azure, vous devez avoir l’autorisation
Microsoft.Authorization/roleAssignments/write
sur un abonnement Azure avant de pouvoir y attribuer des rôles. Cette autorisation fait partie des rôles internes duPropriétaire ou de l’Administrateur de l’accès utilisateur.Pour attribuer des rôles Microsoft Entra, vous devez avoir le rôle Administrateur de rôle privilégié ou le rôle Administrateur général.
Si vous souhaitez utiliser Azure CLI ou Azure PowerShell en local, consultez Utiliser Azure CLI et Azure PowerShell avec Azure Virtual Desktop pour vérifier que vous disposez de l’extension Az.DesktopVirtualization de PowerShell ou du module desktopvirtualization d’Azure CLI installé. Vous pouvez également utiliser Azure Cloud Shell.
Attribuer un rôle RBAC Azure à un principal de service Azure Virtual Desktop
Pour attribuer un rôle RBAC Azure à un principal de service Azure Virtual Desktop, sélectionnez l’onglet approprié pour votre scénario et suivez les étapes. Dans ces exemples, l’étendue de l’attribution de rôle est un abonnement Azure, mais vous devez utiliser l’étendue et le rôle nécessaires pour chaque fonctionnalité.
Voici comment attribuer un rôle RBAC Azure à un principal de service Azure Virtual Desktop étendu à un abonnement en tirant parti du Portail Azure.
Connectez-vous au portail Azure.
Dans la zone de recherche, entrez Microsoft Entra ID, et sélectionnez l’entrée de service correspondante.
Sur la page Vue d’ensemble, dans la zone de recherche pour Rechercher votre locataire, entrez l’ID d’application pour le principal du service que vous souhaitez attribuer à partir de la table précédente.
Dans les résultats, sélectionnez l’application d’entreprise correspondante pour le principal du service que vous souhaitez attribuer, commençant par Azure Virtual Desktop ou Windows Virtual Desktop.
Sous propriétés, notez le nom et l’ID de l’objet. L’ID d’objet est lié à l’ID d’application et est propre à votre abonné.
Retourner dans la zone de recherche, entrez Abonnements, ensuite sélectionnez l’entrée de service correspondante.
Sélectionnez l’abonnement auquel vous souhaitez ajouter l’attribution de rôle.
Choisissez Contrôle d’accès (IAM), ensuite sélectionnez + Ajouter suivi par Ajouter une attribution de rôle.
Sélectionnez le rôle que vous souhaitez attribuer au principal du service d’Azure Virtual Desktop, ensuite sélectionnez Suivant.
Vérifiez que Attribuer l’accès à est défini sur Utilisateur, groupe ou principal de service Microsoft Entra, puis sélectionnez Sélectionner des membres.
Entrez le nom de l’application d’entreprise que vous avez noté plus tôt.
Sélectionnez l’entrée correspondante dans les résultats, ensuite sélectionnez Sélectionner. Si vous avez deux entrées portant le même nom, sélectionnez les deux pour le moment.
Vérifiez la liste des membres dans le tableau. Si vous avez deux entrées, supprimez l’entrée qui ne correspond pas à l’ID d’objet que vous avez noté précédemment.
Sélectionnez Suivant , ensuite sélectionnez Vérifier + attribuer pour finaliser l’opération d’attribution de rôle.
Attribuer un rôle Microsoft Entra à un principal de service Azure Virtual Desktop
Pour attribuer un rôle Microsoft Entra à un principal de service Azure Virtual Desktop, sélectionnez l’onglet approprié pour votre scénario et suivez les étapes. Dans ces exemples, l’étendue de l’attribution de rôle est un abonnement Azure, mais vous devez utiliser l’étendue et le rôle nécessaires pour chaque fonctionnalité.
Voici comment attribuer un rôle Microsoft Entra à un principal de service Azure Virtual Desktop étendu à un tenant en tirant parti du Portail Azure.
Connectez-vous au portail Azure.
Dans la zone de recherche, entrez Microsoft Entra ID, et sélectionnez l’entrée de service correspondante.
Sélectionnez Rôles et administrateurs.
Recherchez et sélectionnez le nom du rôle que vous souhaitez attribuer. Si vous souhaitez attribuer un rôle personnalisé, consultez Créer un rôle personnalisé pour le créer en premier.
Sélectionnez Ajouter des affectations.
Dans la zone de recherche, entrez l’ID d’application pour le principal de service que vous souhaitez attribuer à partir de la table précédente, par exemple 9cdead84-a844-4324-93f2-b2e6bb768d07.
Cochez la case près de l’entrée correspondante, sélectionnez ensuite Ajouter pour terminer l’attribution de rôle.
Étapes suivantes
En savoir plus sur les rôles RBAC Azure intégrés pour Azure Virtual Desktop.