Tilldela Azure RBAC-roller eller Microsoft Entra-roller till Tjänstens huvudnamn för Azure Virtual Desktop

Flera Azure Virtual Desktop-funktioner kräver att du tilldelar Roller för rollbaserad åtkomstkontroll i Azure (Azure RBAC) eller Microsoft Entra-roller till ett av Azure Virtual Desktop-tjänstens huvudnamn. Funktioner som du behöver för att tilldela en roll till tjänstens huvudnamn för Azure Virtual Desktop är:

• Appanslutning (när du använder Azure Files och dina sessionsvärdar som är anslutna till Microsoft Entra-ID).
• Autoskalning.
• Uppdatering av sessionsvärd
• Starta den virtuella datorn i Anslut.

Dricks

Du hittar vilken roll eller vilka roller du behöver tilldela till vilket tjänsthuvudnamn i artikeln för varje funktion. En lista över alla tillgängliga Azure RBAC-roller som skapats specifikt för Azure Virtual Desktop finns i Inbyggda Azure RBAC-roller för Azure Virtual Desktop. Mer information om Azure RBAC finns i Dokumentation om Azure RBAC eller Microsoft Entra-roller i dokumentationen om Microsoft Entra-roller.

Beroende på när du registrerade resursprovidern Microsoft.DesktopVirtualization börjar tjänstens huvudnamn med antingen Azure Virtual Desktop eller Windows Virtual Desktop. Om du tidigare använde både klassiska Azure Virtual Desktop och Azure Virtual Desktop (Azure Resource Manager) visas även appar med samma namn. Du kan se till att du tilldelar roller till rätt huvudnamn för tjänsten genom att kontrollera dess program-ID. Program-ID:t för varje huvudnamn för tjänsten finns i följande tabell:

Tjänstens huvudnamn	Program-ID:t
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

Den här artikeln visar hur du tilldelar Azure RBAC-roller eller Microsoft Entra-roller till rätt Azure Virtual Desktop-tjänsthuvudnamn med hjälp av Azure Portal, Azure CLI eller Azure PowerShell.

Förutsättningar

Innan du kan tilldela en roll till tjänstens huvudnamn för Azure Virtual Desktop måste du uppfylla följande krav:

• Om du vill tilldela Azure RBAC-roller måste du ha behörighet till en Azure-prenumeration för att kunna tilldela roller för den prenumerationen Microsoft.Authorization/roleAssignments/write . Den här behörigheten är en del av den inbyggda rollen Ägare eller Administratör för användaråtkomst.

• Om du vill tilldela Microsoft Entra-roller måste du ha rollen Privilegierad rolladministratör eller global administratör .

• Om du vill använda Azure PowerShell eller Azure CLI lokalt kan du läsa Använda Azure CLI och Azure PowerShell med Azure Virtual Desktop för att se till att du har Azure.DesktopVirtualization PowerShell-modulen eller Azure CLI-tillägget desktopvirtualization installerat. Du kan också använda Azure Cloud Shell.

Tilldela en Azure RBAC-roll till tjänstens huvudnamn för Azure Virtual Desktop

Om du vill tilldela en Azure RBAC-roll till ett huvudnamn för Azure Virtual Desktop-tjänsten väljer du relevant flik för ditt scenario och följer stegen. I de här exemplen är rolltilldelningens omfattning en Azure-prenumeration, men du måste använda omfånget och den roll som krävs för varje funktion.

Azure Portal

Så här tilldelar du en Azure RBAC-roll till ett Azure Virtual Desktop-tjänsthuvudnamn som är begränsat till en prenumeration med hjälp av Azure Portal.

1. Logga in på Azure-portalen.

2. I sökrutan anger du Microsoft Entra-ID och väljer posten matchande tjänst.

3. På sidan Översikt i sökrutan för Sök efter din klientorganisation anger du program-ID:t för tjänstens huvudnamn som du vill tilldela från den tidigare tabellen.

4. I resultatet väljer du det matchande företagsprogrammet för tjänstens huvudnamn som du vill tilldela, med start antingen Azure Virtual Desktop eller Windows Virtual Desktop.

5. Anteckna namnet och objekt-ID:t under egenskaper. Objekt-ID:t korrelerar med program-ID:t och är unikt för din klientorganisation.

6. Gå tillbaka till sökrutan anger du Prenumerationer och välj den matchande tjänstposten.

7. Välj den prenumeration som du vill lägga till rolltilldelningen i.

8. Välj Åtkomstkontroll (IAM) och välj sedan + Lägg till följt av Lägg till rolltilldelning.

9. Välj den roll som du vill tilldela tjänstens huvudnamn för Azure Virtual Desktop och välj sedan Nästa.

10. Se till att Tilldela åtkomst till är inställt på Microsoft Entra-användare, grupp eller tjänstens huvudnamn och välj sedan Välj medlemmar.

11. Ange namnet på det företagsprogram som du antecknade tidigare.

12. Välj den matchande posten i resultatet och välj sedan Välj. Om du har två poster med samma namn väljer du dem båda för tillfället.

13. Granska listan över medlemmar i tabellen. Om du har två poster tar du bort posten som inte matchar objekt-ID:t som du antecknade tidigare.

14. Välj Nästa och välj sedan Granska + tilldela för att slutföra rolltilldelningen.

Azure PowerShell

Så här tilldelar du en Azure RBAC-roll till ett Azure Virtual Desktop-tjänsthuvudnamn som är begränsat till en prenumeration med hjälp av PowerShell-modulen Az.DesktopVirtualization .

1. Öppna Azure Cloud Shell i Azure Portal med PowerShell-terminaltypen eller kör PowerShell på din lokala enhet.

   • Om du använder Cloud Shell kontrollerar du att Azure-kontexten är inställd på den prenumeration som du vill använda.

   • Om du använder PowerShell lokalt loggar du först in med Azure PowerShell och kontrollerar sedan att Azure-kontexten är inställd på den prenumeration som du vill använda.

2. Leta reda på ID:t för den prenumeration som du vill lägga till rolltilldelningen i genom att visa en lista över alla som är tillgängliga för dig med följande kommando:

   Get-AzSubscription
   

3. Lagra prenumerations-ID:t i en variabel genom att köra följande kommando och ersätta prenumerations-ID:t i det här exemplet med ditt eget:

   $subId = "<SubscriptionID>"
   

4. Tilldela rollen till tjänstens huvudnamn för Azure Virtual Desktop genom att köra följande kommando och ersätta värdet för parametern RoleDefinitionName med namnet på den roll som du behöver tilldela och parametern ApplicationId med program-ID för tjänstens huvudnamn som du vill tilldela från den tidigare tabellen. I det här exemplet tilldelas rollen Power On Off-deltagare för skrivbordsvirtualisering till tjänstens huvudnamn för Azure Virtual Desktop i prenumerationen:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   Dina utdata bör likna följande exempel:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure CLI

Så här tilldelar du en Azure RBAC-roll till ett Azure Virtual Desktop-tjänsthuvudnamn som är begränsat till en prenumeration med hjälp av tillägget desktopvirtualization för Azure CLI.

1. Öppna Azure Cloud Shell i Azure Portal med Bash-terminaltypen eller kör Azure CLI på din lokala enhet.

   • Om du använder Cloud Shell kontrollerar du att Azure-kontexten är inställd på den prenumeration som du vill använda.

   • Om du använder Azure CLI lokalt loggar du först in med Azure CLI och kontrollerar sedan att Azure-kontexten är inställd på den prenumeration som du vill använda.

2. Leta reda på ID:t för den prenumeration som du vill lägga till rolltilldelningen i genom att visa en lista över alla som är tillgängliga för dig med följande kommando:

   az account list --output table
   

3. Lagra värdet för SubscriptionId i en variabel genom att köra följande kommando och ersätta prenumerations-ID:t i det här exemplet med ditt eget:

   subId=00000000-0000-0000-0000-000000000000
   

4. Tilldela rollen till tjänstens huvudnamn för Azure Virtual Desktop genom att köra följande kommando och ersätta värdet för parametern role med namnet på den roll som du behöver tilldela och parametern assignee med program-ID för tjänstens huvudnamn som du vill tilldela från den tidigare tabellen. I det här exemplet tilldelas rollen Power On Off-deltagare för skrivbordsvirtualisering till tjänstens huvudnamn för Azure Virtual Desktop i prenumerationen:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   Dina utdata bör likna följande exempel:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Tilldela en Microsoft Entra-roll till tjänstens huvudnamn för Azure Virtual Desktop

Om du vill tilldela en Microsoft Entra-roll till tjänstens huvudnamn för Azure Virtual Desktop väljer du relevant flik för ditt scenario och följer stegen. I de här exemplen är rolltilldelningens omfattning en Azure-prenumeration, men du måste använda omfånget och den roll som krävs för varje funktion.

Så här tilldelar du en Microsoft Entra-roll till ett Azure Virtual Desktop-tjänsthuvudnamn som är begränsat till en klientorganisation med hjälp av Azure Portal.

1. Logga in på Azure-portalen.

2. I sökrutan anger du Microsoft Entra-ID och väljer posten matchande tjänst.

3. Välj Roller och administratörer.

4. Sök efter och välj namnet på den roll som du vill tilldela. Om du vill tilldela en anpassad roll kan du läsa Skapa en anpassad roll för att skapa den först.

5. Välj Lägg till tilldelningar.

6. I sökrutan anger du program-ID för tjänstens huvudnamn som du vill tilldela från den tidigare tabellen, till exempel 9cdead84-a844-4324-93f2-b2e6bb768d07.

7. Markera kryssrutan bredvid matchande post och välj sedan Lägg till för att slutföra rolltilldelningen.

Nästa steg

Läs mer om de inbyggda Azure RBAC-rollerna för Azure Virtual Desktop.