Przypisywanie ról RBAC do jednostek usługi Azure Virtual Desktop
Kilka funkcji usługi Azure Virtual Desktop wymaga przypisania ról kontroli dostępu na podstawie ról (RBAC) platformy Azure do jednej z jednostek usługi Azure Virtual Desktop. Funkcje, które należy przypisać do jednostki usługi Azure Virtual Desktop, obejmują:
- Autoskalowanie.
- Uruchom maszynę wirtualną w programie Connect.
- Dołączanie aplikacji (w przypadku korzystania z usługi Azure Files i hostów sesji dołączonych do identyfikatora Entra firmy Microsoft).
Napiwek
Możesz znaleźć rolę, którą należy przypisać do jednostki usługi w artykule dotyczącym każdej funkcji. Aby uzyskać listę wszystkich dostępnych ról przeznaczonych specjalnie dla usługi Azure Virtual Desktop, zobacz Wbudowane role RBAC platformy Azure dla usługi Azure Virtual Desktop Aby dowiedzieć się więcej na temat kontroli dostępu opartej na rolach platformy Azure, zobacz dokumentację RBAC platformy Azure.
W zależności od tego, kiedy zarejestrowano dostawcę zasobów Microsoft.DesktopVirtualization , nazwy główne usługi zaczynają się od usługi Azure Virtual Desktop lub Windows Virtual Desktop. Jeśli użyto zarówno klasycznej usługi Azure Virtual Desktop, jak i usługi Azure Virtual Desktop (Azure Resource Manager), zobaczysz aplikacje o tej samej nazwie. Możesz upewnić się, że przypisujesz role do prawidłowej jednostki usługi, sprawdzając jej identyfikator aplikacji. Identyfikator aplikacji dla każdej jednostki usługi znajduje się w poniższej tabeli:
Jednostka usługi | Identyfikator aplikacji |
---|---|
Azure Virtual Desktop Windows Virtual Desktop |
9cdead84-a844-4324-93f2-b2e6bb768d07 |
Klient Azure Virtual Desktop Klient usługi Windows Virtual Desktop |
a85cf173-4192-42f8-81fa-777a763e6e2c |
Dostawca ARM w usłudze Azure Virtual Desktop Dostawca usługi ARM usługi Windows Virtual Desktop |
50e95039-b200-4007-bc97-8d5790743a63 |
W tej lekcji pokazano, jak przypisać rolę do odpowiednich jednostek usługi Azure Virtual Desktop przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub programu Azure PowerShell.
Wymagania wstępne
Przed przypisaniem roli do jednostki usługi Azure Virtual Desktop należy spełnić następujące wymagania wstępne:
- Aby przypisać role w tej subskrypcji, musisz mieć uprawnienie Microsoft.Authorization/roleAssignments/write do subskrypcji platformy Azure. To uprawnienie jest częścią ról wbudowanych właściciela lub administratora dostępu użytkowników.
- Jeśli chcesz używać programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure lokalnie, zobacz Używanie interfejsu wiersza polecenia platformy Azure i programu Azure PowerShell z usługą Azure Virtual Desktop, aby upewnić się, że masz zainstalowany moduł Az.DesktopVirtualization programu PowerShell lub rozszerzenie interfejsu wiersza polecenia platformy Azure dla komputerów wirtualnych. Alternatywnie użyj usługi Azure Cloud Shell.
Przypisywanie roli do jednostki usługi Azure Virtual Desktop
Aby przypisać rolę do jednostki usługi Azure Virtual Desktop, wybierz odpowiednią kartę dla danego scenariusza i wykonaj kroki. W tych przykładach zakres przypisania roli to subskrypcja platformy Azure, ale musisz użyć zakresu i roli wymaganej przez każdą funkcję.
Poniżej przedstawiono sposób przypisywania roli do jednostki usługi Azure Virtual Desktop przy użyciu witryny Azure Portal.
- Zaloguj się w witrynie Azure Portal.
- W polu wyszukiwania wpisz Microsoft Entra ID i wybierz pasujący wpis usługi.
- Na stronie Przegląd w polu wyszukiwania Wyszukaj w dzierżawie wprowadź identyfikator aplikacji dla jednostki usługi, którą chcesz przypisać z wcześniejszej tabeli.
- W wynikach wybierz zgodną aplikację przedsiębiorstwa dla jednostki usługi, którą chcesz przypisać, zaczynając od usługi Azure Virtual Desktop lub Windows Virtual Desktop.
- W obszarze właściwości zanotuj nazwę i identyfikator obiektu. Identyfikator obiektu jest skorelowany z identyfikatorem aplikacji i jest unikatowy dla dzierżawy.
- W polu wyszukiwania wpisz Subskrypcje i wybierz pasujący wpis usługi.
- Wybierz subskrypcję, do której chcesz dodać przypisanie roli.
- Wybierz pozycję Kontrola dostępu (zarządzanie dostępem i tożsamościami), a następnie wybierz pozycję + Dodaj , a następnie dodaj przypisanie roli.
- Wybierz rolę, którą chcesz przypisać do jednostki usługi Azure Virtual Desktop, a następnie wybierz pozycję Dalej.
- Upewnij się, że pozycja Przypisz dostęp do jest ustawiona na wartość Microsoft Entra user, group lub service principal, a następnie wybierz pozycję Wybierz członków.
- Wprowadź nazwę aplikacji dla przedsiębiorstw zanotuj wcześniej.
- Wybierz pasujący wpis z wyników, a następnie wybierz pozycję Wybierz. Jeśli masz dwa wpisy o tej samej nazwie, wybierz je na razie.
- Przejrzyj listę elementów członkowskich w tabeli. Jeśli masz dwa wpisy, usuń wpis, który nie jest zgodny z identyfikatorem obiektu zanotowanymi wcześniej.
- Wybierz pozycję Dalej, a następnie wybierz pozycję Przejrzyj i przypisz , aby ukończyć przypisanie roli.