Azure Virtual Desktop における委任されたアクセス

重要

この内容は、Azure Resource Manager Azure Virtual Desktop オブジェクトを含む Azure Virtual Desktop に適用されます。 Azure Resource Manager オブジェクトを含まない Azure Virtual Desktop (クラシック) を使用している場合は、こちらの記事を参照してください。

Azure Virtual Desktop には委任されたアクセス モデルが用意され、これにより特定のユーザーにロールを割り当てることで、それらのユーザーが持つことのできるアクセス数を定義できます。 ロールの割り当てには、セキュリティ プリンシパル、ロールの定義、スコープの 3 つのコンポーネントがあります。 Azure Virtual Desktop の委任されたアクセス モデルは、Azure RBAC モデルに基づいています。 特定のロールの割り当てとそのコンポーネントの詳細については、「Azure ロールベースのアクセス制御の概要」を参照してください。

Azure Virtual Desktop の委任されたアクセスでは、ロール割り当ての要素ごとに次の値がサポートされています。

  • セキュリティ プリンシパル
    • ユーザー
    • ユーザー グループ
    • サービス プリンシパル
  • ロール定義
    • 組み込みのロール
    • カスタム ロール
  • Scope
    • ホスト プール
    • アプリケーション グループ
    • Workspaces

ロール割り当てを目的とした PowerShell のコマンドレット

開始する前に、PowerShell モジュールの設定に関するページの手順に従って、Azure Virtual Desktop PowerShell モジュールを設定してください (まだ設定していない場合)。

Azure Virtual Desktop では、アプリケーション グループをユーザーまたはユーザー グループに公開するときに、Azure のロールベースのアクセス制御 (Azure RBAC) を使用します。 デスクトップ仮想化ユーザー ロールがユーザーまたはユーザー グループに割り当てられます。そのスコープはアプリケーション グループになります。 このロールは、アプリケーション グループに対する特別なデータ アクセスをユーザーに付与します。

次のコマンドレットを実行して、Microsoft Entra ユーザーをアプリケーション グループに追加します。

New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

次のコマンドレットを実行して、Microsoft Entra ユーザー グループをアプリケーション グループに追加します。

New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

次のステップ

各ロールで使用できる PowerShell コマンドレットのより詳細な一覧については、「PowerShell リファレンス」を参照してください。

Azure RBAC でサポートされているロールの完全な一覧については、「Azure 組み込みロール」を参照してください。

Azure Virtual Desktop 環境を設定する方法のガイドについては、「Azure Virtual Desktop 環境」を参照してください。