将 Azure RBAC 角色或Microsoft Entra 角色分配给服务主体

下面介绍如何使用 Azure 门户将 Azure RBAC 角色分配给限定为订阅的 Azure 虚拟桌面服务主体。

1. 登录到 Azure 门户。

2. 在搜索框中，输入“Microsoft Entra ID”并选择匹配的服务条目。

3. 在“概述”页面的“搜索租户”搜索框中，输入要从前面表中分配的服务主体的应用程序 ID。

4. 在结果中，为要分配的服务主体选择匹配的企业应用程序，启动 Azure 虚拟桌面或 Windows 虚拟桌面。

5. 在“属性”下，记下“名称”和“对象 ID”。 对象 ID 与应用程序 ID 相关，并且对租户是唯一的。

6. 返回搜索框，输入“订阅”并选择匹配的服务条目。

7. 选择要将角色分配添加到的订阅。

8. 选择“访问控制(IAM)”，然后依次选择“+ 添加”和“添加角色分配”。

9. 选择要分配给 Azure 虚拟桌面服务主体的角色，然后选择“下一步”。

10. 确保将“将访问权限分配到”设置为“Azure AD 用户、组或服务主体”，然后选中“选择成员”。

11. 输入之前记下的企业应用程序的名称。

12. 从结果中选择匹配的条目，然后选择“选择”。 如果有两个具有相同名称的条目，请暂时将它们都选中。

13. 查看表中的成员列表。 如果有两个条目，请删除与之前记下的对象 ID 不匹配的条目。

14. 选择“下一步”，然后选择“查看 + 分配”以完成角色分配。

下面介绍如何使用 Az.DesktopVirtualization PowerShell 模块将 Azure RBAC 角色分配给限定为订阅的 Azure 虚拟桌面服务主体。

1. 在本地设备上运行 PowerShell。

   • 如果在本地使用 PowerShell，请先使用 Azure PowerShell 登录，然后确保将 Azure 上下文设置为要使用的订阅。

2. 通过使用以下命令列出所有可用的 ID，找到你想要向其添加角色分配的订阅的 ID：

   Get-AzSubscription
   

3. 运行以下命令，将此示例中的订阅 ID 替换为你自己的值，从而将订阅 ID 存储在变量中：

   $subId = "<SubscriptionID>"
   

4. 运行以下命令，将角色分配给 Azure 虚拟桌面服务主体，将参数的值 RoleDefinitionName 替换为需要分配的角色的名称，并将 ApplicationId 参数替换为要从前面的表分配的服务主体的应用程序 ID。 此示例将“桌面虚拟化开关机参与者”角色分配给订阅上的 Azure 虚拟桌面服务主体：

   $parameters = @{
       RoleDefinitionName = "Desktop Virtualization Power On Off Contributor"
       ApplicationId = "9cdead84-a844-4324-93f2-b2e6bb768d07"
       Scope = "/subscriptions/$subId"
   }
   
   New-AzRoleAssignment @parameters
   

   输出应类似于以下示例：

   RoleAssignmentName : c5221262-d1fa-4d32-9d60-8bd86f618d20
   RoleAssignmentId   : /subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/c5221262-d1fa-4d32-9d60-8bd86f618d20
   Scope              : /subscriptions/00000000-0000-0000-0000-000000000000
   DisplayName        : Azure Virtual Desktop
   SignInName         : 
   RoleDefinitionName : Desktop Virtualization Power On Off Contributor
   RoleDefinitionId   : 40c5ff49-9181-41f8-ae61-143b0e78555e
   ObjectId           : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
   ObjectType         : ServicePrincipal
   CanDelegate        : False
   Description        : 
   ConditionVersion   : 
   Condition          :
   

下面介绍如何使用 Azure CLI 的 桌面虚拟化 扩展将 Azure RBAC 角色分配给限定为订阅的 Azure 虚拟桌面服务主体。

1. 在本地设备上运行 Azure CLI。

   • 如果在本地使用 Azure CLI，请先使用 Azure CLI 登录，然后确保将 Azure 上下文设置为要使用的订阅。

2. 通过使用以下命令列出所有可用的 ID，找到你想要向其添加角色分配的订阅的 ID：

   az account list --output table
   

3. 运行以下命令，将此示例中的订阅 ID 替换为你自己的值，从而将 SubscriptionId 的值存储在变量中：

   subId=00000000-0000-0000-0000-000000000000
   

4. 运行以下命令，将角色分配给 Azure 虚拟桌面服务主体，将参数的值 role 替换为需要分配的角色的名称，并将 assignee 参数替换为要从前面的表分配的服务主体的应用程序 ID。 此示例将“桌面虚拟化开关机参与者”角色分配给订阅上的 Azure 虚拟桌面服务主体：

   az role assignment create \
       --assignee "9cdead84-a844-4324-93f2-b2e6bb768d07" \
       --role "Desktop Virtualization Power On Off Contributor" \
       --scope "/subscriptions/$subId"
   

   输出应类似于以下示例：

   {
     "condition": null,
     "conditionVersion": null,
     "createdBy": null,
     "createdOn": "2023-06-22T13:50:22.978226+00:00",
     "delegatedManagedIdentityResourceId": null,
     "description": null,
     "id": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleAssignments/a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "name": "a211100e-aa52-4f8d-aac9-ad0833f969d0",
     "principalId": "00000000-0000-0000-0000-000000000000",
     "principalType": "ServicePrincipal",
     "roleDefinitionId": "/subscriptions/00000000-0000-0000-0000-000000000000/providers/Microsoft.Authorization/roleDefinitions/40c5ff49-9181-41f8-ae61-143b0e78555e",
     "scope": "/subscriptions/00000000-0000-0000-0000-000000000000",
     "type": "Microsoft.Authorization/roleAssignments",
     "updatedBy": "effe20b0-5afb-4e68-a5d7-f8ef9873a070",
     "updatedOn": "2023-06-22T13:50:23.335229+00:00"
   }