Akses yang didelegasikan di Azure Virtual Desktop (klasik)

  • Artikel

Penting

Konten ini berlaku untuk Azure Virtual Desktop (klasik), yang tidak mendukung objek Azure Resource Manager Azure Virtual Desktop. Jika Anda berusaha mengelola objek Azure Resource Manager Azure Virtual Desktop, baca artikel ini.

Azure Virtual Desktop memiliki model akses yang didelegasikan yang memungkinkan Anda menentukan jumlah akses yang diperbolehkan oleh pengguna tertentu dengan menetapkan peran kepada mereka. Penetapan peran memiliki tiga komponen: prinsip keamanan, definisi peran, dan ruang lingkup. Model akses delegasi Azure Virtual Desktop didasarkan pada model Azure RBAC. Untuk mempelajari selengkapnya tentang penetapan peran tertentu dan komponennya, lihat ringkasan kontrol akses berbasis peran Azure.

Akses delegasi Azure Virtual Desktop mendukung nilai berikut untuk setiap elemen penetapan peran:

  • Perwakilan keamanan
    • Pengunjung perangkat seluler hingga langkah
    • Perwakilan layanan
  • Definisi peran
    • Peran bawaan
  • Lingkup
    • Grup penyewa
    • Penyewa
    • Kumpulan host
    • Grup aplikasi

Peran bawaan

Akses yang didelegasikan di Azure Virtual Desktop memiliki beberapa definisi peran bawaan yang dapat Anda tetapkan ke pengguna dan prinsip layanan.

  • Pemilik RDS dapat mengelola semuanya, termasuk akses ke sumber daya.
  • Kontributor RDS dapat mengelola semuanya, tetapi tidak dapat mengakses sumber daya.
  • Pembaca RDS dapat melihat semuanya, tetapi tidak dapat membuat perubahan apa pun.
  • Operator RDS dapat melihat aktivitas diagnostik.

Cmdlet PowerShell untuk penetapan peran

Anda dapat menjalankan cmdlet berikut untuk membuat, melihat, dan menghapus penetapan peran:

  • Get-RdsRoleAssignment menampilkan daftar penetapan peran.
  • New-RdsRoleAssignment membuat penetapan peran baru.
  • Remove-RdsRoleAssignment menghapus penetapan peran.

Parameter yang diterima

Anda dapat memodifikasi tiga cmdlet dasar dengan parameter berikut:

  • AadTenantId: menentukan ID penyewa Microsoft Entra tempat perwakilan layanan menjadi anggota.
  • AppGroupName: nama grup aplikasi Desktop Jauh.
  • Diagnostik: menunjukkan cakupan diagnostik. (Harus dipasangkan dengan parameter Infrastruktur atau Penyewa.)
  • HostPoolName: nama kumpulan host Desktop Jauh.
  • Infrastruktur: menunjukkan cakupan infrastruktur.
  • RoleDefinitionName: nama peran kontrol akses berbasis peran Layanan Desktop Jauh yang ditetapkan untuk pengguna, grup, atau aplikasi. (Misalnya, Pemilik Layanan Desktop Jauh, Pembaca Layanan Desktop Jauh, dan sebagainya.)
  • ServerPrincipleName: nama aplikasi Microsoft Entra.
  • SignInName: alamat email pengguna atau nama utama pengguna.
  • TenantName: nama penyewa Desktop Jauh.

Langkah berikutnya

Untuk daftar cmdlet PowerShell yang lebih lengkap yang dapat digunakan setiap peran, lihat referensi PowerShell.

Untuk panduan tentang cara menyiapkan lingkungan Azure Virtual Desktop, lihat lingkungan Azure Virtual Desktop.