Menetapkan peran RBAC ke perwakilan layanan Azure Virtual Desktop

Beberapa fitur Azure Virtual Desktop mengharuskan Anda menetapkan peran kontrol akses berbasis peran Azure (Azure RBAC) ke salah satu perwakilan layanan Azure Virtual Desktop. Fitur yang Anda butuhkan untuk menetapkan peran ke perwakilan layanan Azure Virtual Desktop meliputi:

• Skala Otomatis.
• Mulai VM pada Koneksi.
• Lampiran aplikasi (saat menggunakan Azure Files dan host sesi Anda bergabung ke ID Microsoft Entra).

Tip

Anda dapat menemukan peran mana yang perlu Anda tetapkan ke perwakilan layanan mana dalam artikel untuk setiap fitur. Untuk daftar semua peran yang tersedia khusus untuk Azure Virtual Desktop, lihat Peran Azure RBAC bawaan untuk Azure Virtual Desktop Untuk mempelajari selengkapnya tentang Azure RBAC, lihat dokumentasi Azure RBAC.

Bergantung pada kapan Anda mendaftarkan penyedia sumber daya Microsoft.DesktopVirtualization , nama perwakilan layanan dimulai dengan Azure Virtual Desktop atau Windows Virtual Desktop. Jika Anda menggunakan Azure Virtual Desktop Classic dan Azure Virtual Desktop (Azure Resource Manager), Anda akan melihat aplikasi dengan nama yang sama. Anda dapat memastikan Anda menetapkan peran ke perwakilan layanan yang benar dengan memeriksa ID aplikasinya. ID aplikasi untuk setiap perwakilan layanan ada dalam tabel berikut:

Perwakilan layanan	ID Aplikasi
Azure Virtual Desktop Windows Virtual Desktop	9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client Windows Virtual Desktop Client	a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider Windows Virtual Desktop ARM Provider	50e95039-b200-4007-bc97-8d5790743a63

Artikel ini memperlihatkan kepada Anda cara menetapkan peran ke perwakilan layanan Azure Virtual Desktop yang benar dengan menggunakan portal Azure, Azure CLI, atau Azure PowerShell.

Prasyarat

Sebelum dapat menetapkan peran ke perwakilan layanan Azure Virtual Desktop, Anda harus memenuhi prasyarat berikut:

• Anda harus memiliki izin ke langganan Azure untuk menetapkan peran pada langganan tersebut Microsoft.Authorization/roleAssignments/write . Izin ini adalah bagian dari peran bawaan Pemilik atau Administrator Akses Pengguna.

• Jika Anda ingin menggunakan Azure PowerShell atau Azure CLI secara lokal, lihat Menggunakan Azure CLI dan Azure PowerShell dengan Azure Virtual Desktop untuk memastikan Anda menginstal modul Az.DesktopVirtualization PowerShell atau ekstensi Azure CLI desktopvirtualisasi . Atau, gunakan Azure Cloud Shell.

Menetapkan peran ke perwakilan layanan Azure Virtual Desktop

Untuk menetapkan peran ke perwakilan layanan Azure Virtual Desktop, pilih tab yang relevan untuk skenario Anda dan ikuti langkah-langkahnya. Dalam contoh ini, cakupan penetapan peran adalah langganan Azure, tetapi Anda perlu menggunakan cakupan dan peran yang diperlukan oleh setiap fitur.

Portal

Berikut cara menetapkan peran ke perwakilan layanan Azure Virtual Desktop menggunakan portal Azure.

1. Masuk ke portal Azure.

2. Dalam kotak pencarian, masukkan ID Microsoft Entra dan pilih entri layanan yang cocok.

3. Pada halaman Gambaran Umum, di kotak pencarian untuk Cari penyewa Anda, masukkan ID aplikasi untuk perwakilan layanan yang ingin Anda tetapkan dari tabel sebelumnya.

4. Dalam hasilnya, pilih aplikasi perusahaan yang cocok untuk perwakilan layanan yang ingin Anda tetapkan, mulai Azure Virtual Desktop atau Windows Virtual Desktop.

5. Di bawah properti, catat nama dan ID objek. ID objek berkorelasi dengan ID aplikasi, dan unik untuk penyewa Anda.

6. Dalam kotak pencarian, masukkan Langganan dan pilih entri layanan yang cocok.

7. Pilih langganan yang ingin Anda tambahkan penetapan perannya.

8. Pilih Kontrol akses (IAM), lalu pilih + Tambahkan diikuti dengan Tambahkan penetapan peran.

9. Pilih peran yang ingin Anda tetapkan ke perwakilan layanan Azure Virtual Desktop, lalu pilih Berikutnya.

10. Pastikan Tetapkan akses ke diatur ke pengguna, grup, atau perwakilan layanan Microsoft Entra, lalu pilih Pilih anggota.

11. Masukkan nama aplikasi perusahaan yang Anda catat sebelumnya.

12. Pilih entri yang cocok dari hasil, lalu pilih Pilih. Jika Anda memiliki dua entri dengan nama yang sama, pilih keduanya untuk saat ini.

13. Tinjau daftar anggota dalam tabel. Jika Anda memiliki dua entri, hapus entri yang tidak cocok dengan ID objek yang Anda catat sebelumnya.

14. Pilih Berikutnya, lalu pilih Tinjau + tetapkan untuk menyelesaikan penetapan peran.

Azure PowerShell

Berikut cara menetapkan peran ke perwakilan layanan Azure Virtual Desktop menggunakan modul Az.DesktopVirtualization PowerShell.

1. Luncurkan Azure Cloud Shell di portal Azure dengan jenis terminal PowerShell, atau jalankan PowerShell di perangkat lokal Anda.

   1. Jika Anda menggunakan Cloud Shell, pastikan konteks Azure Anda diatur ke langganan yang ingin Anda gunakan.

   2. Jika Anda menggunakan PowerShell secara lokal, pertama-tama Masuk dengan Azure PowerShell, lalu pastikan konteks Azure Anda diatur ke langganan yang ingin Anda gunakan.

2. Temukan ID langganan yang ingin Anda tambahkan penetapan perannya dengan mencantumkan semua yang tersedia untuk Anda dengan perintah berikut:

   Get-AzSubscription
   

3. Simpan ID langganan dalam variabel dengan menjalankan perintah berikut, mengganti ID langganan dalam contoh ini dengan id Anda sendiri:

   $subId = "00000000-0000-0000-0000-000000000000"
   

4. Tetapkan peran ke perwakilan layanan Azure Virtual Desktop dengan menjalankan perintah berikut, mengganti nilai untuk RoleDefinitionName parameter dengan nama peran yang perlu Anda tetapkan, dan ApplicationId parameter dengan ID aplikasi dari perwakilan layanan yang ingin Anda tetapkan dari tabel sebelumnya. Contoh ini menetapkan peran Kontributor Power On Off Virtualisasi Desktop ke perwakilan layanan Azure Virtual Desktop pada langganan:

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   Output Anda harus mirip dengan contoh berikut:

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : 00000000-0000-0000-0000-000000000000
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

Azure CLI

Berikut cara menetapkan peran ke perwakilan layanan Azure Virtual Desktop menggunakan ekstensi desktopvirtualisasi untuk Azure CLI.

1. Luncurkan Azure Cloud Shell di portal Azure dengan jenis terminal Bash, atau jalankan Azure CLI di perangkat lokal Anda.

   1. Jika Anda menggunakan Cloud Shell, pastikan konteks Azure Anda diatur ke langganan yang ingin Anda gunakan.

   2. Jika Anda menggunakan Azure CLI secara lokal, pertama-tama Masuk dengan Azure CLI, lalu pastikan konteks Azure Anda diatur ke langganan yang ingin Anda gunakan.

2. Temukan ID langganan yang ingin Anda tambahkan penetapan perannya dengan mencantumkan semua yang tersedia untuk Anda dengan perintah berikut:

   az account list --output table
   

3. Simpan nilai untuk SubscriptionId dalam variabel dengan menjalankan perintah berikut, mengganti ID langganan dalam contoh ini dengan milik Anda sendiri:

   subId=00000000-0000-0000-0000-000000000000
   

4. Tetapkan peran ke perwakilan layanan Azure Virtual Desktop dengan menjalankan perintah berikut, mengganti nilai untuk role parameter dengan nama peran yang perlu Anda tetapkan, dan assignee parameter dengan ID aplikasi dari perwakilan layanan yang ingin Anda tetapkan dari tabel sebelumnya. Contoh ini menetapkan peran Kontributor Power On Off Virtualisasi Desktop ke perwakilan layanan Azure Virtual Desktop pada langganan:

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   Output Anda harus mirip dengan contoh berikut:

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }
   

Langkah berikutnya

Pelajari selengkapnya tentang peran Azure RBAC bawaan untuk Azure Virtual Desktop.