Assegnare ruoli controllo degli accessi in base al ruolo di Azure o ruoli di Microsoft Entra alle entità servizio di Desktop virtuale Azure

Articolo
10/23/2024

Diverse funzionalità di Desktop virtuale Azure richiedono di assegnare ruoli di controllo degli accessi in base al ruolo di Azure o ruoli di Microsoft Entra a una delle entità servizio di Desktop virtuale Azure. Le funzionalità che richiedono l’assegnazione di un ruolo a un'entità servizio di Desktop virtuale Azure includono:

Montaggio app (quando si usano File di Azure e gli host di sessione aggiunti a Microsoft Entra ID).
Scalabilità automatica.
Aggiornamento dell'host di sessione
Avvio della macchina virtuale in Connessione.

Suggerimento

È possibile trovare il ruolo o i ruoli da assegnare all'entità servizio nell'articolo per ogni funzionalità. Per un elenco di tutti i ruoli di Controllo degli accessi in base al ruolo di Azure disponibili creati in modo specifico per Desktop virtuale Azure, vedere Ruoli predefiniti del controllo degli accessi in base al ruolo di Azure per Desktop virtuale Azure. Per altre informazioni sul controllo degli accessi in base al ruolo di Azure, vedere la documentazione di Controllo degli accessi in base al ruolo di Azure o per i ruoli di Microsoft Entra, vedere la documentazione dei ruoli di Microsoft Entra.

A seconda del momento in cui è stato registrato il provider di risorse Microsoft.DesktopVirtualization, i nomi delle entità servizio iniziano con Desktop virtuale Azure o Desktop virtuale Windows. Inoltre, se in precedenza è stato usato desktop virtuale Azure classico e Desktop virtuale Azure (Azure Resource Manager), vengono visualizzate app con lo stesso nome. È possibile assicurarsi di assegnare ruoli all'entità servizio corretta controllando il relativo ID applicazione. Gli ID applicazione per ogni entità servizio sono riportati nella tabella seguente:

Entità servizio	ID applicazione
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

Questo articolo illustra come assegnare ruoli controllo degli accessi in base al ruolo di Azure o ruoli di Microsoft Entra alle entità servizio di Desktop virtuale Azure corrette usando il portale di Azure, l'interfaccia della riga di comando di Azure o Azure PowerShell.

Prerequisiti

Prima di poter assegnare un ruolo a un'entità servizio di Desktop virtuale Azure, è necessario soddisfare i prerequisiti seguenti:

Per assegnare i ruoli controllo degli accessi in base al ruolo di Azure, è necessario disporre dell'autorizzazione Microsoft.Authorization/roleAssignments/write per una sottoscrizione di Azure per assegnare ruoli a tale sottoscrizione. Tale autorizzazione fa parte dei ruoli predefiniti Proprietario o Amministratore accesso utenti.
Per assegnare i ruoli di Microsoft Entra, è necessario avere il ruolo Amministratore ruolo con privilegi o Amministratore globale.
Se si vuole usare Azure PowerShell o l'interfaccia della riga di comando di Azure in locale, vedere Usare l'interfaccia della riga di comando di Azure e Azure PowerShell con Desktop virtuale Azure per assicurarsi che sia installato il modulo Az.DesktopVirtualization di PowerShell o l'estensione dell'interfaccia della riga di comando di Azure desktopvirtualization. In alternativa, usare Azure Cloud Shell.

Assegnare un ruolo controllo degli accessi in base al ruolo di Azure a un'entità servizio Desktop virtuale Azure

Per assegnare un ruolo controllo degli accessi in base al ruolo di Azure a un'entità servizio Desktop virtuale Azure, selezionare la scheda pertinente per lo scenario e seguire la procedura. In questi esempi l'ambito dell'assegnazione di ruolo è una sottoscrizione di Azure, tuttavia è necessario usare l'ambito e il ruolo richiesto da ogni funzionalità.

Ecco come assegnare un ruolo controllo degli accessi in base al ruolo di Azure a un'entità servizio Desktop virtuale Azure con ambito una sottoscrizione usando il portale di Azure.

Accedere al portale di Azure.
Nella casella di ricerca, immettere Microsoft Entra ID e selezionare la voce corrispondente del servizio.
Nella casella di ricerca Cerca tenant della pagina Panoramica, immettere l'ID applicazione per l'entità servizio che si vuole assegnare indicato nella tabella precedente.
Nei risultati selezionare l'applicazione aziendale corrispondente per l'entità servizio da assegnare, avviando Desktop virtuale Azure o Desktop virtuale Windows.
In proprietà prendere nota del nome e dell'ID oggetto. L'ID oggetto è correlato all'ID applicazione ed è univoco per il tenant.
Tornare alla casella di ricerca, immettere Sottoscrizioni e selezionare la voce del servizio corrispondente.
Selezionare la sottoscrizione a cui si vuole aggiungere l'assegnazione di ruolo.
Selezionare Controllo di accesso (IAM) e quindi + Aggiungi, seguito da Aggiungi assegnazione di ruolo.
Selezionare il ruolo da assegnare all'entità servizio di Desktop virtuale Azure, quindi selezionare Avanti.
Assicurarsi che l'opzione Assegna accesso a sia impostata su Utente, gruppo o entità servizio di Microsoft Entra, quindi selezionare Seleziona membri.
Immettere il nome dell'applicazione aziendale annotato in precedenza.
Selezionare la voce corrispondente nei risultati e quindi selezionare Seleziona. Se sono presenti due voci con lo stesso nome, selezionarle entrambe per il momento.
Esaminare l'elenco dei membri nella tabella. Se sono presenti due voci, rimuovere la voce che non corrisponde all'ID oggetto annotato in precedenza.
Selezionare Avanti, quindi selezionare Rivedi e assegna per completare l'assegnazione di ruolo.

Ecco come assegnare un ruolo controllo degli accessi in base al ruolo di Azure a un'entità servizio Desktop virtuale Azure con ambito a una sottoscrizione usando il modulo Az.DesktopVirtualization di PowerShell.

Aprire Azure Cloud Shell nel portale di Azure con il tipo di terminale PowerShell oppure eseguire PowerShell nel dispositivo locale.
- Se si usa Cloud Shell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione da usare.
- Se si usa PowerShell in locale, per prima cosa accedere con Azure PowerShell, quindi assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione da usare.

Trovare l'ID della sottoscrizione a cui si vuole aggiungere l'assegnazione di ruolo elencando tutti gli elementi disponibili con il comando seguente:
```
Get-AzSubscription
```
Archiviare l'ID sottoscrizione in una variabile eseguendo il comando seguente, sostituendo l'ID sottoscrizione in questo esempio con il proprio:
```
$subId = "<SubscriptionID>"
```

Assegnare il ruolo a un'entità servizio Desktop virtuale Azure eseguendo il comando seguente, sostituendo il valore per il RoleDefinitionName parametro con il nome del ruolo da assegnare e il ApplicationId parametro con ID applicazione dell'entità servizio che si vuole assegnare dalla tabella precedente. In questo esempio viene assegnato il ruolo Collaboratore di Power On Off di Virtualizzazione Desktop desktop desktop all'entità servizio Desktop virtuale Azure nella sottoscrizione:

$parameters = @{
    RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
    ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
    Scope = "/subscriptions/$subId"
}

New-AzRoleAssignment @parameters

L'output dovrebbe essere simile all'esempio seguente:

RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
DisplayName        : Azure Virtual Desktop
SignInName         : 
RoleDefinitionName : Desktop Virtualization Power On Off Contributor
RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType         : ServicePrincipal
CanDelegate        : False
Description        : 
ConditionVersion   : 
Condition          :

Ecco come assegnare un ruolo controllo degli accessi in base al ruolo di Azure a un'entità servizio Desktop virtuale Azure con ambito una sottoscrizione usando l'estensione desktopvirtualization per l'interfaccia della riga di comando di Azure.

Aprire Azure Cloud Shell nel portale di Azure con il tipo di terminale Bash oppure eseguire l'interfaccia della riga di comando di Azure nel dispositivo locale.
- Se si usa Cloud Shell, assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione da usare.
- Se si usa l'interfaccia della riga di comando di Azure in locale, prima accedere con l'interfaccia della riga di comando di Azure, quindi assicurarsi che il contesto di Azure sia impostato sulla sottoscrizione che si desidera usare.

Trovare l'ID della sottoscrizione a cui si vuole aggiungere l'assegnazione di ruolo elencando tutti gli elementi disponibili con il comando seguente:
```
az account list --output table
```
Archiviare il valore per SubscriptionId in una variabile eseguendo il comando seguente, sostituendo l'ID sottoscrizione in questo esempio con il proprio:
```
subId=00000000-0000-0000-0000-000000000000
```

Assegnare il ruolo a un'entità servizio Desktop virtuale Azure eseguendo il comando seguente, sostituendo il valore per il role parametro con il nome del ruolo da assegnare e il assignee parametro con ID applicazione dell'entità servizio che si vuole assegnare dalla tabella precedente. In questo esempio viene assegnato il ruolo Collaboratore di Power On Off di Virtualizzazione Desktop desktop desktop all'entità servizio Desktop virtuale Azure nella sottoscrizione:

az role assignment create \
    --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
    --role "Desktop Virtualization Power On Off Contributor" \
    --scope "/subscriptions/$subId"

L'output dovrebbe essere simile all'esempio seguente:

{
  "condition": null,
  "conditionVersion": null,
  "createdBy": null,
  "createdOn": "2023-06-22T13:50:22.978226+00:00",
  "delegatedManagedIdentityResourceId": null,
  "description": null,
  "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
  "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
  "principalId": "00000000-0000-0000-0000-000000000000",
  "principalType": "ServicePrincipal",
  "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
  "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
  "type": "Microsoft.Authorization/roleAssignments",
  "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
  "updatedOn": "2023-06-22T13:50:23.335229+00:00"
}

Assegnare un ruolo Microsoft Entra a un'entità servizio Desktop virtuale Azure

Per assegnare un ruolo Microsoft Entra a un'entità servizio Desktop virtuale Azure, selezionare la scheda pertinente per lo scenario e seguire la procedura. In questi esempi l'ambito dell'assegnazione di ruolo è una sottoscrizione di Azure, tuttavia è necessario usare l'ambito e il ruolo richiesto da ogni funzionalità.

Ecco come assegnare un ruolo Microsoft Entra a un'entità servizio Desktop virtuale Azure con ambito a un tenant usando il portale di Azure.

Accedere al portale di Azure.
Nella casella di ricerca, immettere Microsoft Entra ID e selezionare la voce corrispondente del servizio.
Selezionare Ruoli e amministratori.
Cercare e selezionare il nome del ruolo da assegnare. Per assegnare un ruolo personalizzato, vedere Creare prima un ruolo personalizzato per crearlo.
Selezionare Aggiungi assegnazioni.
Nella casella di ricerca immettere l'ID applicazione per l'entità servizio da assegnare dalla tabella precedente, ad esempio 9cdead84-a844-4324-93f2-b2e6bb768d07.
Selezionare la casella accanto alla voce corrispondente, quindi selezionare Aggiungi per completare l'assegnazione di ruolo.

Passaggi successivi

Altre informazioni sui ruoli predefiniti del controllo degli accessi in base al ruolo di Azure per Desktop virtuale Azure.

Condividi tramite

Assegnare ruoli controllo degli accessi in base al ruolo di Azure o ruoli di Microsoft Entra alle entità servizio di Desktop virtuale Azure

Prerequisiti

Assegnare un ruolo controllo degli accessi in base al ruolo di Azure a un'entità servizio Desktop virtuale Azure

Assegnare un ruolo Microsoft Entra a un'entità servizio Desktop virtuale Azure

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive