Azure Virtual Desktop サービス プリンシパルに Azure RBAC の役割または Microsoft Entra ロールを割り当てる

Azure Virtual Desktop のいくつかの機能では、Azure ロールベースのアクセス制御 (Azure RBAC) のロールまたは Microsoft Entra ロールをいずれかの Azure Virtual Desktop サービス プリンシパルに割り当てる必要があります。 Azure Virtual Desktop サービス プリンシパルにロールを割り当てる必要がある機能は次のとおりです。

• アプリのアタッチ (Azure Files と Microsoft Entra ID に参加しているセッション ホストを使用する場合)。
• 自動スケール。
• セッション ホストの更新
• Start VM on Connect。

ヒント

1 つまたは複数のどのロールをどのサービス プリンシパルに割り当てる必要があるかについては、各機能の記事で確認できます。 Azure Virtual Desktop 専用に作成されたすべての使用可能な Azure RBAC の役割の一覧については、「Azure Virtual Desktop の組み込み Azure RBAC の役割」を参照してください。 Azure RBAC の詳細については、Azure RBAC のドキュメント、Microsoft Entra ロールについては Microsoft Entra ロールのドキュメントを参照してください。

Microsoft.DesktopVirtualization リソース プロバイダーをいつ登録したかによって、サービス プリンシパル名は Azure Virtual Desktop か Windows Virtual Desktop のどちらかで始まります。 Azure Virtual Desktop クラシックと Azure Virtual Desktop (Azure Resource Manager) の両方を使用したことがある場合は、同じ名前のアプリが表示されます。 正しいサービス プリンシパルにロールを割り当てるようにするには、そのアプリケーション ID を確認します。 各サービス プリンシパルのアプリケーション ID を次の表に示します。

サービス プリンシパル	アプリケーション ID
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

この記事では、Azure portal、Azure CLI、または Azure PowerShell を使って、正しい Azure Virtual Desktop サービス プリンシパルに Azure RBAC の役割または Microsoft Entra ロールを割り当てる方法について説明します。

前提条件

Azure Virtual Desktop サービス プリンシパルにロールを割り当てるには、次の前提条件を満たしておく必要があります。

• Azure RBAC の役割を割り当てるには、Azure サブスクリプションにロールを割り当てるために、そのサブスクリプションに対する Microsoft.Authorization/roleAssignments/write アクセス許可が必要です。 このアクセス許可は、所有者またはユーザー アクセス管理者組み込みロールの一部です。

• Microsoft Entra ロールを割り当てるには、特権ロール管理者または全体管理者ロールが必要です。

• Azure PowerShell または Azure CLI をローカルで使用する場合は、「Azure Virtual Desktop で Azure CLI と Azure PowerShell を使用する」を参照して、Az.DesktopVirtualization PowerShell モジュールまたは desktopvirtualization Azure CLI 拡張機能がインストールされていることを確認してください。 別の方法として、Azure Cloud Shell を使用します。

Azure RBAC の役割を Azure Virtual Desktop サービス プリンシパルに割り当てる

Azure RBAC の役割を Azure Virtual Desktop サービス プリンシパルに割り当てるには、シナリオに関連するタブを選択し、手順に従います。 これらの例では、ロールの割り当てのスコープは Azure サブスクリプションですが、各機能で必要なスコープとロールを使う必要があります。

Azure Portal

Azure portal を使用して、サブスクリプションをスコープとする Azure Virtual Desktop サービス プリンシパルに Azure RBAC の役割を割り当てる方法を次に示します。

1. Azure portal にサインインします。

2. 検索ボックスに「Microsoft Entra ID」と入力し、一致するサービス エントリを選択します。

3. [概要] ページの [テナントの検索] の検索ボックスに、前の表から選択した割り当てたいサービス プリンシパルのアプリケーション ID を入力します。

4. 結果で、割り当てたいサービス プリンシパルに一致するエンタープライズ アプリケーションを選択します。これにより Azure Virtual Desktop または Windows Virtual Desktop が起動します。

5. プロパティで、名前とオブジェクト ID を記録しておきます。 オブジェクト ID はアプリケーション ID に関連付けられており、テナントに固有です。

6. 検索ボックスに「サブスクリプション」と入力して、一致するサービス エントリを選びます。

7. ロールの割り当てを追加するサブスクリプションを選びます。

8. [アクセス制御 (IAM)]、[+ 追加]、[ロールの割り当てを追加] の順に選びます。

9. Azure Virtual Desktop サービス プリンシパルに割り当てるロールを選んだら、[次へ] を選びます。

10. [アクセスの割り当て先] が [Microsoft Entra のユーザー、グループ、またはサービス プリンシパル] に設定されていることを確認してから、[メンバーの選択] を選びます。

11. 前にメモしたエンタープライズ アプリケーションの名前を入力します。

12. 結果から一致するエントリを選んで、[選択] を選びます。 同じ名前のエントリが 2 つある場合、現時点では両方とも選択します。

13. テーブルでメンバーの一覧を確認します。 エントリが 2 つある場合は、前に記録したオブジェクト ID と一致しないエントリを削除します。

14. [次へ] を選んでから、[レビューと割り当て] を選んでロールの割り当てを完了します。

Azure PowerShell

Az.DesktopVirtualization PowerShell モジュールを使用して、サブスクリプションをスコープとする Azure Virtual Desktop サービス プリンシパルに Azure RBAC の役割を割り当てる方法を次に示します。

1. ターミナルの種類として PowerShell を指定して、Azure portal で Azure Cloud Shell を開くか、ローカル デバイスで PowerShell を実行します。

   • Cloud Shell を使用している場合は、Azure コンテキストが、使用したいサブスクリプションに設定されていることを確認します。

   • ローカルで PowerShell を使用している場合は、まず Azure PowerShell でサインインし、次に、使用したいサブスクリプションに Azure コンテキストが設定されていることを確認します。

2. 次のコマンドを実行して使用できるすべてのサブスクリプションの一覧を表示し、ロールの割り当てを追加するものの ID を見つけます。

   Get-AzSubscription
   

3. 次のコマンドを実行してサブスクリプション ID を変数に格納し、この例のサブスクリプション ID を実際のサブスクリプション ID に置き換えます。

   $subId = "<SubscriptionID>"
   

4. 次のコマンドを実行して、Azure Virtual Desktop サービス プリンシパルにロールを割り当てます。RoleDefinitionName パラメーターの値は、割り当てる必要があるロールの名前に置き換えます。また、ApplicationId パラメーターの値については、割り当てたいサービス プリンシパルを前の表から選択し、そのアプリケーション ID に置き換えます。 この例では、サブスクリプションの Azure Virtual Desktop サービス プリンシパルに、Desktop Virtualization Power On Off 共同作成者ロールを割り当てます。

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   次の例のような出力になる必要があります。

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure CLI

Azure CLI の desktopvirtualization 拡張機能を使用して、サブスクリプションをスコープとする Azure Virtual Desktop サービス プリンシパルに Azure RBAC の役割を割り当てる方法を次に示します。

1. Bash ターミナルの種類を指定して、Azure portal で Azure Cloud Shell を開くか、ローカル デバイスで Azure CLI を実行します。

   • Cloud Shell を使用する場合は、使用するサブスクリプションに Azure コンテキストが設定されていることを確認します。

   • ローカルで Azure CLI を使用する場合は、まず Azure CLI でサインインし、次に、使用したいサブスクリプションに Azure コンテキストが設定されていることを確認します。

2. 次のコマンドを実行して使用できるすべてのサブスクリプションの一覧を表示し、ロールの割り当てを追加するものの ID を見つけます。

   az account list --output table
   

3. 次のコマンドを実行して SubscriptionId の値を変数に格納し、この例のサブスクリプション ID を実際のサブスクリプション ID に置き換えます。

   subId=00000000-0000-0000-0000-000000000000
   

4. 次のコマンドを実行して、Azure Virtual Desktop サービス プリンシパルにロールを割り当てます。role パラメーターの値は、割り当てる必要があるロールの名前に置き換えます。また、assignee パラメーターの値については、割り当てたいサービス プリンシパルを前の表から選択し、そのアプリケーション ID に置き換えます。 この例では、サブスクリプションの Azure Virtual Desktop サービス プリンシパルに、Desktop Virtualization Power On Off 共同作成者ロールを割り当てます。

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   次の例のような出力になる必要があります。

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Microsoft Entra ロールを Azure Virtual Desktop サービス プリンシパルに割り当てる

Microsoft Entra ロールを Azure Virtual Desktop サービス プリンシパルに割り当てるには、シナリオに関連するタブを選択し、手順に従います。 これらの例では、ロールの割り当てのスコープは Azure サブスクリプションですが、各機能で必要なスコープとロールを使う必要があります。

Azure portal を使用して、テナントをスコープとする Azure Virtual Desktop サービス プリンシパルに Microsoft Entra ロールを割り当てる方法を次に示します。

1. Azure portal にサインインします。

2. 検索ボックスに「Microsoft Entra ID」と入力し、一致するサービス エントリを選択します。

3. [ロールと管理者] を選択します。

4. 割り当てるロールの名前を検索して選択します。 カスタム ロールを割り当てる場合は、まずカスタム ロールの作成に関する記事を参照して作成します。

5. [割り当ての追加] を選択します。

6. 前述の表から、割り当てたいサービス プリンシパルのアプリケーション ID (たとえば 9cdead84-a844-4324-93f2-b2e6bb768d07) を検索ボックスに入力します。

7. 一致するエントリの横にあるチェック ボックスをオンにし、[追加] を選択してロールの割り当てを完了します。

次のステップ

Azure Virtual Desktop の組み込み Azure RBAC ロールの詳細を理解します。