Zuweisen von RBAC-Rollen zu Azure Virtual Desktop-Dienstprinzipalen
Für mehrere Azure Virtual Desktop-Features müssen Sie den Azure Virtual Desktop-Dienstprinzipalen Rollen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, Azure RBAC) zuweisen. Zu den Features, für die Sie dem Azure Virtual Desktop-Dienstprinzipal eine Rolle zuweisen müssen, gehören:
- Autoskalierung.
- VM bei Verbindung starten
- App Attach (wenn Sie Azure Files verwenden und Ihre Sitzungshosts in Microsoft Entra ID eingebunden sind)
Tipp
Die Rolle, die Sie den Dienstprinzipalen zuweisen müssen, finden Sie im Artikel zum jeweiligen Feature. Eine Liste aller speziell für Azure Virtual Desktop verfügbaren Rollen finden Sie unter Integrierte Azure RBAC-Rollen für Azure Virtual Desktop. Weitere Informationen zu Azure RBAC finden Sie in der Dokumentation zu Azure RBAC.
Je nachdem, wann Sie den Ressourcenanbieter Microsoft.DesktopVirtualization registriert haben, beginnt der Name des Dienstprinzipals entweder mit Azure Virtual Desktop oder Windows Virtual Desktop. Wenn Sie sowohl Azure Virtual Desktop (klassisch) als auch Azure Virtual Desktop (Azure Resource Manager) verwendet haben, sehen Sie Apps mit demselben Namen. Sie können sicherstellen, dass Sie dem richtigen Dienstprinzipal Rollen zuweisen, indem Sie dessen Anwendungs-ID überprüfen. Die Anwendungs-IDs für die einzelnen Dienstprinzipale sind in der folgenden Tabelle aufgeführt:
| Dienstprinzipal | Anwendungs-ID |
|---|---|
| Azure Virtual Desktop Windows Virtual Desktop |
9cdead84-a844-4324-93f2-b2e6bb768d07 |
| Azure Virtual Desktop-Client Windows Virtual Desktop-Client |
a85cf173-4192-42f8-81fa-777a763e6e2c |
| Azure Virtual Desktop-ARM-Anbieter Windows Virtual Desktop-ARM-Anbieter |
50e95039-b200-4007-bc97-8d5790743a63 |
In dieser Lektion wird gezeigt, wie Sie den richtigen Azure Virtual Desktop-Dienstprinzipalen mithilfe des Azure-Portals, der Azure CLI oder mit Azure PowerShell eine Rolle zuweisen.
Voraussetzungen
Bevor Sie einem Azure Virtual Desktop-Dienstprinzipal eine Rolle zuweisen können, müssen die folgenden Voraussetzungen erfüllt sein:
- Sie müssen über die Berechtigung „Microsoft.Authorization/roleAssignments/Write“ für ein Azure-Abonnement verfügen, um diesem Abonnement Rollen zuzuweisen. Diese Berechtigung ist Teil der integrierten Rolle Besitzer oder Benutzerzugriffsadministrator.
- Wenn Sie Azure PowerShell oder die Azure CLI lokal verwenden möchten, lesen Sie Verwenden der Azure CLI und von Azure PowerShell mit Azure Virtual Desktop, um sicherzustellen, dass das PowerShell-Modul Az.DesktopVirtualization oder die Azure CLI-Erweiterung desktopvirtualization installiert ist. Stattdessen können Sie auch die Azure Cloud Shell verwenden.
Zuweisen einer Rolle zu einem Azure Virtual Desktop-Dienstprinzipal
Um einem Azure Virtual Desktop-Dienstprinzipal eine Rolle zuzuweisen, wählen Sie die entsprechende Registerkarte für Ihr Szenario aus, und führen Sie die folgenden Schritte aus. In diesen Beispielen ist der Bereich der Rollenzuweisung ein Azure-Abonnement, Sie müssen jedoch die für die einzelnen Features erforderlichen Bereiche und Rollen verwenden.
Im Folgenden wird beschrieben, wie Sie einem Azure Virtual Desktop-Dienstprinzipal mithilfe des Azure-Portals eine Rolle zuweisen.
- Melden Sie sich beim Azure-Portal an.
- Geben Sie im Suchfeld Microsoft Entra ID ein, und wählen Sie den entsprechenden Diensteintrag aus.
- Geben Sie auf der Seite „Übersicht“ im Suchfeld für Ihren Mandanten durchsuchen die Anwendungs-ID aus der obigen Tabelle für den Dienstprinzipal ein, dem Sie eine Rolle zuweisen möchten.
- Wählen Sie in den Ergebnissen die entsprechende Unternehmensanwendung für den Dienstprinzipal aus, den Sie zuweisen möchten. Diese beginnt entweder mit Azure Virtual Desktop oder Windows Virtual Desktop.
- Notieren Sie sich unter Eigenschaften den Namen und die Objekt-ID. Die Objekt-ID korreliert mit der Anwendungs-ID und ist für Ihren Mandanten eindeutig.
- Geben Sie im Suchfeld Abonnements ein, und wählen Sie den entsprechenden Diensteintrag aus.
- Wählen Sie das Abonnement aus, dem Sie die Rollenzuweisung hinzufügen möchten.
- Wählen Sie Zugriffssteuerung (IAM) und anschließend + Hinzufügen, gefolgt von Rollenzuweisung hinzufügen aus.
- Wählen Sie die Rolle, die Sie dem Azure Virtual Desktop-Dienstprinzipal zuweisen möchten, und dann Weiter aus.
- Stellen Sie sicher, dass Zugriff zuweisen zu auf Microsoft Entra-Benutzer*in, -Gruppe oder -Dienstprinzipal festgelegt ist, und wählen Sie dann Mitglieder auswählen aus.
- Geben Sie den Namen der Unternehmensanwendung ein, die Sie zuvor notieren haben.
- Wählen Sie den entsprechenden Eintrag aus den Ergebnissen und dann Auswählen aus. Wenn zwei Einträge mit demselben Namen vorhanden sind, wählen Sie vorerst beide aus.
- Überprüfen Sie die Liste der Mitglieder in der Tabelle. Wenn zwei Einträge vorhanden sind, entfernen Sie den Eintrag, der nicht mit der Objekt-ID übereinstimmt, die Sie sich zuvor notieren haben.
- Wählen Sie Weiter und dann Überprüfen + zuweisen aus, um die Rollenzuweisung abzuschließen.