你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将 Azure RBAC 角色或 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体
多项 Azure 虚拟桌面功能要求将 Azure 基于角色的访问控制 (Azure RBAC) 角色或 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体之一。 要求向 Azure 虚拟桌面服务主体分配角色的功能包括:
提示
在介绍每项功能的文章中,可以查找需要向哪个服务主体分配哪个角色。 有关专门为 Azure 虚拟桌面创建的所有可用 Azure RBAC 角色的列表,请参阅 Azure 虚拟桌面的内置 Azure RBAC 角色。 要详细了解 Azure RBAC,请参阅 Azure RBAC 文档或 Microsoft Entra 角色文档。
根据你注册 Microsoft.DesktopVirtualization 资源提供程序的时间,服务主体名称以 Azure 虚拟桌面或 Windows 虚拟桌面开头。 如果同时使用 Azure 虚拟桌面(经典)和 Azure 虚拟桌面(Azure 资源管理器),则会看到具有相同名称的应用。 通过检查服务主体的应用程序 ID,可确保将角色分配给正确的服务主体。 下表显示了每个服务主体的应用程序 ID:
服务主体 | 应用程序 ID |
---|---|
Azure Virtual Desktop Windows Virtual Desktop |
9cdead84-a844-4324-93f2-b2e6bb768d07 |
Azure Virtual Desktop Client Windows Virtual Desktop Client |
a85cf173-4192-42f8-81fa-777a763e6e2c |
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider |
50e95039-b200-4007-bc97-8d5790743a63 |
本文介绍如何使用 Azure 门户、Azure CLI 或 Azure PowerShell 将 Azure RBAC 角色或 Microsoft Entra 角色分配给正确的 Azure 虚拟桌面服务主体。
先决条件
将角色分配给 Azure 虚拟桌面服务主体之前,需要满足以下先决条件:
要分配 Azure RBAC 角色,必须对 Azure 订阅具有
Microsoft.Authorization/roleAssignments/write
权限才能在该订阅上分配角色。 此权限属于所有者或用户访问管理员内置角色。如果要在本地使用 Azure PowerShell 或 Azure CLI,请参阅将 Azure CLI 和 Azure PowerShell 与 Azure 虚拟桌面配合使用,确保已安装 Az.DesktopVirtualization PowerShell 模块或 desktopvirtualization Azure CLI 扩展。 或者,也可以使用 Azure Cloud Shell。
向 Azure 虚拟桌面服务主体分配 Azure RBAC 角色
要将 Azure RBAC 角色分配给 Azure 虚拟桌面服务主体,请选择方案的相关选项卡,并按照步骤进行操作。 在这些示例中,角色分配的范围是 Azure 订阅,但需要使用每项功能所需的范围和角色。
下面介绍如何使用 Azure 门户将 Azure RBAC 角色分配给范围限定为订阅的 Azure 虚拟桌面服务主体。
登录到 Azure 门户。
在搜索框中,输入“Microsoft Entra ID”并选择匹配的服务条目。
在“概述”页面的“搜索租户”搜索框中,输入要从前面表中分配的服务主体的应用程序 ID。
在结果中,为要分配的服务主体选择匹配的企业应用程序,启动 Azure 虚拟桌面或 Windows 虚拟桌面。
在“属性”下,记下“名称”和“对象 ID”。 对象 ID 与应用程序 ID 相关,并且对租户是唯一的。
在搜索框中,输入“订阅”并选择匹配的服务条目。
选择要将角色分配添加到的订阅。
选择“访问控制(IAM)”,然后依次选择“+ 添加”和“添加角色分配”。
选择要分配给 Azure 虚拟桌面服务主体的角色,然后选择“下一步”。
确保将“将访问权限分配到”设置为“Azure AD 用户、组或服务主体”,然后选中“选择成员”。
输入之前记下的企业应用程序的名称。
从结果中选择匹配的条目,然后选择“选择”。 如果有两个具有相同名称的条目,请暂时将它们都选中。
查看表中的成员列表。 如果有两个条目,请删除与之前记下的对象 ID 不匹配的条目。
选择“下一步”,然后选择“查看 + 分配”以完成角色分配。
将 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体
要将 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体,请选择方案的相关选项卡,并按照步骤进行操作。 在这些示例中,角色分配的范围是 Azure 订阅,但需要使用每项功能所需的范围和角色。
下面介绍如何使用 Azure 门户将 Microsoft Entra 角色分配给范围限定为租户的 Azure 虚拟桌面服务主体。
登录到 Azure 门户。
在搜索框中,输入“Microsoft Entra ID”并选择匹配的服务条目。
选择角色和管理员。
搜索并选择要分配的角色的名称。 如果要分配自定义角色,请参阅创建自定义角色以先创建该角色。
选择“添加分配”。
在搜索框中,输入要从前面的表中分配的服务主体的应用程序 ID,例如 9cdead84-a844-4324-93f2-b2e6bb768d07。
选中匹配项旁边的框,然后选择“添加”以完成角色分配。