将 Azure RBAC 角色或 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体

多项 Azure 虚拟桌面功能要求将 Azure 基于角色的访问控制 (Azure RBAC) 角色或 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体之一。 要求向 Azure 虚拟桌面服务主体分配角色的功能包括:

提示

在介绍每项功能的文章中,可以查找需要向哪个服务主体分配哪个角色。 有关专门为 Azure 虚拟桌面创建的所有可用 Azure RBAC 角色的列表,请参阅 Azure 虚拟桌面的内置 Azure RBAC 角色。 要详细了解 Azure RBAC,请参阅 Azure RBAC 文档Microsoft Entra 角色文档

根据你注册 Microsoft.DesktopVirtualization 资源提供程序的时间,服务主体名称以 Azure 虚拟桌面Windows 虚拟桌面开头。 如果使用 Azure 虚拟桌面(Azure 资源管理器),则你会看到具有相同名称的应用。 通过检查服务主体的应用程序 ID,可确保将角色分配给正确的服务主体。 下表显示了每个服务主体的应用程序 ID:

服务主体 应用程序 ID
Azure Virtual Desktop
Windows Virtual Desktop
9cdead84-a844-4324-93f2-b2e6bb768d07
Azure Virtual Desktop Client
Windows Virtual Desktop Client
a85cf173-4192-42f8-81fa-777a763e6e2c
Azure Virtual Desktop ARM Provider
Windows Virtual Desktop ARM Provider
50e95039-b200-4007-bc97-8d5790743a63

本文介绍如何使用 Azure 门户、Azure CLI 或 Azure PowerShell 将 Azure RBAC 角色或 Microsoft Entra 角色分配给正确的 Azure 虚拟桌面服务主体。

先决条件

将角色分配给 Azure 虚拟桌面服务主体之前,需要满足以下先决条件:

向 Azure 虚拟桌面服务主体分配 Azure RBAC 角色

要将 Azure RBAC 角色分配给 Azure 虚拟桌面服务主体,请选择方案的相关选项卡,并按照步骤进行操作。 在这些示例中,角色分配的范围是 Azure 订阅,但需要使用每项功能所需的范围和角色。

下面介绍如何使用 Azure 门户将 Azure RBAC 角色分配给范围限定为订阅的 Azure 虚拟桌面服务主体。

  1. 登录到 Azure 门户

  2. 在搜索框中,输入“Microsoft Entra ID”并选择匹配的服务条目。

  3. 在“概述”页面的“搜索租户”搜索框中,输入要从前面表中分配的服务主体的应用程序 ID。

  4. 在结果中,为要分配的服务主体选择匹配的企业应用程序,启动 Azure 虚拟桌面Windows 虚拟桌面

  5. 在“属性”下,记下“名称”和“对象 ID”。 对象 ID 与应用程序 ID 相关,并且对租户是唯一的。

  6. 在搜索框中,输入“订阅”并选择匹配的服务条目。

  7. 选择要将角色分配添加到的订阅。

  8. 选择“访问控制(IAM)”,然后依次选择“+ 添加”和“添加角色分配”。

  9. 选择要分配给 Azure 虚拟桌面服务主体的角色,然后选择“下一步”。

  10. 确保将“将访问权限分配到”设置为“Azure AD 用户、组或服务主体”,然后选中“选择成员”。

  11. 输入之前记下的企业应用程序的名称。

  12. 从结果中选择匹配的条目,然后选择“选择”。 如果有两个具有相同名称的条目,请暂时将它们都选中。

  13. 查看表中的成员列表。 如果有两个条目,请删除与之前记下的对象 ID 不匹配的条目。

  14. 选择“下一步”,然后选择“查看 + 分配”以完成角色分配。

将 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体

要将 Microsoft Entra 角色分配给 Azure 虚拟桌面服务主体,请选择方案的相关选项卡,并按照步骤进行操作。 在这些示例中,角色分配的范围是 Azure 订阅,但需要使用每项功能所需的范围和角色。

下面介绍如何使用 Azure 门户将 Microsoft Entra 角色分配给范围限定为租户的 Azure 虚拟桌面服务主体。

  1. 登录到 Azure 门户

  2. 在搜索框中,输入“Microsoft Entra ID”并选择匹配的服务条目。

  3. 选择角色和管理员

  4. 搜索并选择要分配的角色的名称。 如果要分配自定义角色,请参阅创建自定义角色以先创建该角色。

  5. 选择“添加分配”。

  6. 在搜索框中,输入要从前面的表中分配的服务主体的应用程序 ID,例如 9cdead84-a844-4324-93f2-b2e6bb768d07。

  7. 选中匹配项旁边的框,然后选择“添加”以完成角色分配。

后续步骤

详细了解适用于 Azure 虚拟桌面的 Azure RBAC 内置角色