Atribuir funções do Azure RBAC ou do Microsoft Entra às entidades de serviço da Área de Trabalho Virtual do Azure
Vários recursos da Área de Trabalho Virtual do Azure exigem que você atribua funções de controle de acesso baseado em função do Azure (Azure RBAC) ou funções do Microsoft Entra a uma das entidades de serviço da Área de Trabalho Virtual do Azure. Os recursos necessários para atribuir uma função a uma entidade de serviço da Área de Trabalho Virtual do Azure incluem:
- Anexar aplicações (ao utilizar os Ficheiros do Azure e os seus anfitriões de sessão associados ao Microsoft Entra ID).
- Dimensionamento Automático.
- Atualização do host da sessão
- Inicie a VM em Conectar.
Gorjeta
Você pode encontrar qual função ou funções precisa atribuir a qual entidade de serviço no artigo para cada recurso. Para obter uma lista de todas as funções RBAC do Azure disponíveis criadas especificamente para a Área de Trabalho Virtual do Azure, consulte Funções internas do RBAC do Azure para a Área de Trabalho Virtual do Azure. Para saber mais sobre o RBAC do Azure, consulte a documentação do RBAC do Azure ou, para funções do Microsoft Entra, consulte a documentação de funções do Microsoft Entra.
Dependendo de quando você registrou o provedor de recursos Microsoft.DesktopVirtualization , os nomes da entidade de serviço começam com a Área de Trabalho Virtual do Azure ou a Área de Trabalho Virtual do Windows. Além disso, se você usou anteriormente o clássico da Área de Trabalho Virtual do Azure e a Área de Trabalho Virtual do Azure (Gerenciador de Recursos do Azure), verá aplicativos com o mesmo nome. Você pode ter certeza de que está atribuindo funções à entidade de serviço correta verificando a ID do aplicativo. A ID do aplicativo para cada entidade de serviço está na tabela a seguir:
Service principal (Principal de serviço) | ID da aplicação |
---|---|
Azure Virtual Desktop Windows Virtual Desktop |
9cdead84-a844-4324-93f2-b2e6bb768d07 |
Azure Virtual Desktop Client Windows Virtual Desktop Client |
a85cf173-4192-42f8-81fa-777a763e6e2c |
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider |
50e95039-b200-4007-bc97-8d5790743a63 |
Este artigo mostra como atribuir funções RBAC do Azure ou funções do Microsoft Entra às entidades de serviço corretas da Área de Trabalho Virtual do Azure usando o portal do Azure, a CLI do Azure ou o Azure PowerShell.
Pré-requisitos
Antes de atribuir uma função a uma entidade de serviço da Área de Trabalho Virtual do Azure, você precisa atender aos seguintes pré-requisitos:
Para atribuir funções do RBAC do Azure, você deve ter a
Microsoft.Authorization/roleAssignments/write
permissão para uma assinatura do Azure para atribuir funções nessa assinatura. Esta permissão faz parte das funções incorporadas de Proprietário ou Administrador de Acesso de Utilizador .Para atribuir funções do Microsoft Entra, você deve ter a função de Administrador de Função Privilegiada ou Administrador Global .
Se você quiser usar o Azure PowerShell ou a CLI do Azure localmente, consulte Usar a CLI do Azure e o Azure PowerShell com a Área de Trabalho Virtual do Azure para garantir que você tenha o módulo do PowerShell Az.DesktopVirtualization ou a extensão da CLI do Azure de virtualização de área de trabalho instalada. Como alternativa, use o Azure Cloud Shell.
Atribuir uma função RBAC do Azure a uma entidade de serviço da Área de Trabalho Virtual do Azure
Para atribuir uma função RBAC do Azure a uma entidade de serviço da Área de Trabalho Virtual do Azure, selecione a guia relevante para seu cenário e siga as etapas. Nesses exemplos, o escopo da atribuição de função é uma assinatura do Azure, mas você precisa usar o escopo e a função exigidos por cada recurso.
Veja como atribuir uma função RBAC do Azure a uma entidade de serviço da Área de Trabalho Virtual do Azure com escopo para uma assinatura usando o portal do Azure.
Inicie sessão no portal do Azure.
Na caixa de pesquisa, digite Microsoft Entra ID e selecione a entrada de serviço correspondente.
Na página Visão geral, na caixa de pesquisa Pesquisar seu locatário, insira a ID do aplicativo para a entidade de serviço que você deseja atribuir na tabela anterior.
Nos resultados, selecione o aplicativo empresarial correspondente para a entidade de serviço que você deseja atribuir, iniciando a Área de Trabalho Virtual do Azure ou a Área de Trabalho Virtual do Windows.
Em Propriedades, anote o nome e a ID do objeto. A ID do objeto está correlacionada à ID do aplicativo e é exclusiva do seu locatário.
Volte à caixa de pesquisa, introduza Subscrições e selecione a entrada de serviço correspondente.
Selecione a assinatura à qual você deseja adicionar a atribuição de função.
Selecione Controle de acesso (IAM) e, em seguida, selecione + Adicionar seguido de Adicionar atribuição de função.
Selecione a função que deseja atribuir à entidade de serviço da Área de Trabalho Virtual do Azure e selecione Avançar.
Verifique se Atribuir acesso a está definido como usuário, grupo ou entidade de serviço do Microsoft Entra e selecione Selecionar membros.
Digite o nome do aplicativo corporativo que você anotou anteriormente.
Selecione a entrada correspondente nos resultados e, em seguida, selecione Selecionar. Se você tiver duas entradas com o mesmo nome, selecione-as ambas por enquanto.
Analise a lista de membros na tabela. Se você tiver duas entradas, remova a entrada que não corresponde à ID do objeto que você anotou anteriormente.
Selecione Avançar e, em seguida, selecione Rever + atribuir para concluir a atribuição de função.
Atribuir uma função do Microsoft Entra a uma entidade de serviço da Área de Trabalho Virtual do Azure
Para atribuir uma função do Microsoft Entra a uma entidade de serviço da Área de Trabalho Virtual do Azure, selecione a guia relevante para seu cenário e siga as etapas. Nesses exemplos, o escopo da atribuição de função é uma assinatura do Azure, mas você precisa usar o escopo e a função exigidos por cada recurso.
Veja como atribuir uma função do Microsoft Entra a uma entidade de serviço da Área de Trabalho Virtual do Azure com escopo para um locatário usando o portal do Azure.
Inicie sessão no portal do Azure.
Na caixa de pesquisa, digite Microsoft Entra ID e selecione a entrada de serviço correspondente.
Selecione Funções e administradores.
Procure e selecione o nome da função que deseja atribuir. Se você quiser atribuir uma função personalizada, consulte Criar uma função personalizada para criá-la primeiro.
Selecione Adicionar atribuições.
Na caixa de pesquisa, insira o ID do aplicativo para a entidade de serviço que você deseja atribuir na tabela anterior, por exemplo , 9cdead84-a844-4324-93f2-b2e6bb768d07.
Marque a caixa ao lado da entrada correspondente e selecione Adicionar para concluir a atribuição de função.
Próximos passos
Saiba mais sobre as funções internas do RBAC do Azure para a Área de Trabalho Virtual do Azure.