Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
多个 Azure 虚拟桌面功能要求将 Azure 基于角色的访问控制(Azure RBAC)角色或Microsoft Entra 角色分配给服务主体。 需要向服务主体分配角色的功能包括:
提示
在介绍每项功能的文章中,可以查找需要向哪个服务主体分配哪个角色。 有关专门为 Azure 虚拟桌面创建的所有可用 Azure RBAC 角色的列表,请参阅 Azure 虚拟桌面的内置 Azure RBAC 角色。 若要详细了解Microsoft Entra角色,请参阅Microsoft Entra角色文档。
- Azure 虚拟桌面服务主体适用于 Azure 和 Azure 本地主机池。 Azure 虚拟桌面服务原则是创建用于表示租户中的多租户服务的单租户标识。
根据你注册 Microsoft.DesktopVirtualization 资源提供程序的时间,服务主体名称以 Azure 虚拟桌面或 Windows 虚拟桌面开头。 如果使用 Azure 虚拟桌面(Azure 资源管理器),则你会看到具有相同名称的应用。 通过检查服务主体的应用程序 ID,可确保将角色分配给正确的服务主体。 下表显示了每个服务主体的应用程序 ID:
服务主体 应用程序 ID Azure Virtual Desktop
Windows Virtual Desktop9cdead84-a844-4324-93f2-b2e6bb768d07 Azure Virtual Desktop Client
Windows Virtual Desktop Clienta85cf173-4192-42f8-81fa-777a763e6e2c Azure Virtual Desktop ARM Provider
Windows Virtual Desktop ARM Provider50e95039-b200-4007-bc97-8d5790743a63
本文介绍如何使用 Azure 门户、Azure CLI 或 Azure PowerShell 将 Azure RBAC 角色或 Microsoft Entra 角色分配给正确的 Azure 虚拟桌面服务主体。
先决条件
在向服务主体分配角色之前,需要满足以下先决条件:
要分配 Azure RBAC 角色,必须对 Azure 订阅具有
Microsoft.Authorization/roleAssignments/write
权限才能在该订阅上分配角色。 此权限属于所有者或用户访问管理员内置角色。要分配 Microsoft Entra 角色,必须具有特权角色管理员或同等角色。
如果要在本地使用 Azure PowerShell 或 Azure CLI,请参阅将 Azure CLI 和 Azure PowerShell 与 Azure 虚拟桌面配合使用,确保已安装 Az.DesktopVirtualization PowerShell 模块或 desktopvirtualization Azure CLI 扩展。
将 Azure RBAC 角色分配给 Azure 虚拟桌面服务主体
若要将 Azure RBAC 角色分配给 Azure 虚拟桌面服务主体,请选择方案的相关选项卡,并按照步骤作。 在这些示例中,角色分配的范围是 Azure 订阅,但需要使用每项功能所需的范围和角色。
下面介绍如何使用 Azure 门户将 Azure RBAC 角色分配给限定为订阅的 Azure 虚拟桌面服务主体。
登录到 Azure 门户。
在搜索框中,输入“Microsoft Entra ID”并选择匹配的服务条目。
在“概述”页面的“搜索租户”搜索框中,输入要从前面表中分配的服务主体的应用程序 ID。
在结果中,为要分配的服务主体选择匹配的企业应用程序,启动 Azure 虚拟桌面或 Windows 虚拟桌面。
在“属性”下,记下“名称”和“对象 ID”。 对象 ID 与应用程序 ID 相关,并且对租户是唯一的。
返回搜索框,输入“订阅”并选择匹配的服务条目。
选择要将角色分配添加到的订阅。
选择“访问控制(IAM)”,然后依次选择“+ 添加”和“添加角色分配”。
选择要分配给 Azure 虚拟桌面服务主体的角色,然后选择“下一步”。
确保将“将访问权限分配到”设置为“Azure AD 用户、组或服务主体”,然后选中“选择成员”。
输入之前记下的企业应用程序的名称。
从结果中选择匹配的条目,然后选择“选择”。 如果有两个具有相同名称的条目,请暂时将它们都选中。
查看表中的成员列表。 如果有两个条目,请删除与之前记下的对象 ID 不匹配的条目。
选择“下一步”,然后选择“查看 + 分配”以完成角色分配。
将 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体
若要将 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体,请执行以下步骤。 在这些示例中,角色分配的范围是 Azure 订阅,但需要使用每项功能所需的范围和角色。
下面介绍如何使用 Azure 门户将 Microsoft Entra 角色分配给限定为租户的 Azure 虚拟桌面服务主体。
登录到 Azure 门户。
在搜索框中,输入“Microsoft Entra ID”并选择匹配的服务条目。
选择角色和管理员。
搜索并选择要分配的角色的名称。 如果要分配自定义角色,请参阅创建自定义角色以先创建该角色。
选择“添加分配”。
在搜索框中,输入要从前面的表中分配的服务主体的应用程序 ID,例如 9cdead84-a844-4324-93f2-b2e6bb768d07。
选中匹配项旁边的框,然后选择“添加”以完成角色分配。