Przypisywanie ról RBAC platformy Azure lub ról usługi Microsoft Entra do jednostek usługi Azure Virtual Desktop
Kilka funkcji usługi Azure Virtual Desktop wymaga przypisania ról kontroli dostępu na podstawie ról (RBAC) platformy Azure lub ról firmy Microsoft Entra do jednej z jednostek usługi usługi Azure Virtual Desktop. Funkcje, które należy przypisać do jednostki usługi Azure Virtual Desktop, obejmują:
- Dołączanie aplikacji (w przypadku korzystania z usługi Azure Files i hostów sesji dołączonych do identyfikatora Entra firmy Microsoft).
- Autoskalowanie.
- Aktualizacja hosta sesji
- Uruchom maszynę wirtualną w programie Connect.
Napiwek
Możesz znaleźć rolę lub role, które należy przypisać do jednostki usługi w artykule dla każdej funkcji. Aby uzyskać listę wszystkich dostępnych ról RBAC platformy Azure utworzonych specjalnie dla usługi Azure Virtual Desktop, zobacz Wbudowane role RBAC platformy Azure dla usługi Azure Virtual Desktop. Aby dowiedzieć się więcej na temat kontroli dostępu opartej na rolach platformy Azure, zobacz dokumentację RBAC platformy Azure lub role entra firmy Microsoft, zobacz dokumentację dotyczącą ról firmy Microsoft.
W zależności od tego, kiedy zarejestrowano dostawcę zasobów Microsoft.DesktopVirtualization , nazwy główne usługi zaczynają się od usługi Azure Virtual Desktop lub Windows Virtual Desktop. Ponadto jeśli wcześniej użyto klasycznej usługi Azure Virtual Desktop i usługi Azure Virtual Desktop (Azure Resource Manager), zobaczysz aplikacje o tej samej nazwie. Możesz upewnić się, że przypisujesz role do prawidłowej jednostki usługi, sprawdzając jej identyfikator aplikacji. Identyfikator aplikacji dla każdej jednostki usługi znajduje się w poniższej tabeli:
Jednostka usługi | Application ID |
---|---|
Azure Virtual Desktop Windows Virtual Desktop |
9cdead84-a844-4324-93f2-b2e6bb768d07 |
Azure Virtual Desktop Client Windows Virtual Desktop Client |
a85cf173-4192-42f8-81fa-777a763e6e2c |
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider |
50e95039-b200-4007-bc97-8d5790743a63 |
W tym artykule przedstawiono sposób przypisywania ról RBAC platformy Azure lub ról usługi Microsoft Entra do odpowiednich jednostek usługi Azure Virtual Desktop przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.
Wymagania wstępne
Przed przypisaniem roli do jednostki usługi Azure Virtual Desktop należy spełnić następujące wymagania wstępne:
Aby przypisać role RBAC platformy Azure, musisz mieć
Microsoft.Authorization/roleAssignments/write
uprawnienie do subskrypcji platformy Azure, aby przypisać role w tej subskrypcji. To uprawnienie jest częścią ról wbudowanych właściciela lub administratora dostępu użytkowników.Aby przypisać role firmy Microsoft Entra, musisz mieć rolę Administrator ról uprzywilejowanych lub Administrator globalny.
Jeśli chcesz używać programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure lokalnie, zobacz Używanie interfejsu wiersza polecenia platformy Azure i programu Azure PowerShell z usługą Azure Virtual Desktop, aby upewnić się, że masz zainstalowany moduł Az.DesktopVirtualization programu PowerShell lub rozszerzenie interfejsu wiersza polecenia platformy Azure dla komputerów wirtualnych. Alternatywnie użyj usługi Azure Cloud Shell.
Przypisywanie roli RBAC platformy Azure do jednostki usługi Azure Virtual Desktop
Aby przypisać rolę RBAC platformy Azure do jednostki usługi Azure Virtual Desktop, wybierz odpowiednią kartę dla danego scenariusza i wykonaj kroki. W tych przykładach zakres przypisania roli to subskrypcja platformy Azure, ale musisz użyć zakresu i roli wymaganej przez każdą funkcję.
Poniżej przedstawiono sposób przypisywania roli RBAC platformy Azure do jednostki usługi azure Virtual Desktop w zakresie subskrypcji przy użyciu witryny Azure Portal.
Zaloguj się w witrynie Azure Portal.
W polu wyszukiwania wpisz Microsoft Entra ID i wybierz pasujący wpis usługi.
Na stronie Przegląd w polu wyszukiwania Wyszukaj w dzierżawie wprowadź identyfikator aplikacji dla jednostki usługi, którą chcesz przypisać z wcześniejszej tabeli.
W wynikach wybierz zgodną aplikację przedsiębiorstwa dla jednostki usługi, którą chcesz przypisać, zaczynając od usługi Azure Virtual Desktop lub Windows Virtual Desktop.
W obszarze właściwości zanotuj nazwę i identyfikator obiektu. Identyfikator obiektu jest skorelowany z identyfikatorem aplikacji i jest unikatowy dla dzierżawy.
Wróć do pola wyszukiwania, wprowadź ciąg Subskrypcje i wybierz pasujący wpis usługi.
Wybierz subskrypcję, do której chcesz dodać przypisanie roli.
Wybierz pozycję Kontrola dostępu (zarządzanie dostępem i tożsamościami), a następnie wybierz pozycję + Dodaj , a następnie dodaj przypisanie roli.
Wybierz rolę, którą chcesz przypisać do jednostki usługi Azure Virtual Desktop, a następnie wybierz pozycję Dalej.
Upewnij się, że pozycja Przypisz dostęp do jest ustawiona na wartość Microsoft Entra user, group lub service principal, a następnie wybierz pozycję Wybierz członków.
Wprowadź nazwę aplikacji dla przedsiębiorstw zanotuj wcześniej.
Wybierz pasujący wpis z wyników, a następnie wybierz pozycję Wybierz. Jeśli masz dwa wpisy o tej samej nazwie, wybierz je na razie.
Przejrzyj listę elementów członkowskich w tabeli. Jeśli masz dwa wpisy, usuń wpis, który nie jest zgodny z identyfikatorem obiektu zanotowanymi wcześniej.
Wybierz pozycję Dalej, a następnie wybierz pozycję Przejrzyj i przypisz , aby ukończyć przypisanie roli.
Przypisywanie roli Entra firmy Microsoft do jednostki usługi Azure Virtual Desktop
Aby przypisać rolę Firmy Microsoft Entra do jednostki usługi Azure Virtual Desktop, wybierz odpowiednią kartę dla danego scenariusza i wykonaj kroki. W tych przykładach zakres przypisania roli to subskrypcja platformy Azure, ale musisz użyć zakresu i roli wymaganej przez każdą funkcję.
Poniżej przedstawiono sposób przypisywania roli Entra firmy Microsoft do jednostki usługi usługi Azure Virtual Desktop o zakresie do dzierżawy przy użyciu witryny Azure Portal.
Zaloguj się w witrynie Azure Portal.
W polu wyszukiwania wpisz Microsoft Entra ID i wybierz pasujący wpis usługi.
Wybierz pozycję Role i administratorzy.
Wyszukaj i wybierz nazwę roli, którą chcesz przypisać. Jeśli chcesz przypisać rolę niestandardową, zobacz Tworzenie roli niestandardowej, aby utworzyć ją jako pierwszą.
Wybierz pozycję Dodaj przypisania.
W polu wyszukiwania wprowadź identyfikator aplikacji jednostki usługi, którą chcesz przypisać z wcześniejszej tabeli, na przykład 9cdead84-a844-4324-93f2-b2e6bb768d07.
Zaznacz pole wyboru obok pasującego wpisu, a następnie wybierz pozycję Dodaj , aby ukończyć przypisanie roli.
Następne kroki
Dowiedz się więcej o wbudowanych rolach RBAC platformy Azure dla usługi Azure Virtual Desktop.