Dostęp delegowany w usłudze Azure Virtual Desktop

  • Artykuł

Ważne

Ta zawartość dotyczy usługi Azure Virtual Desktop z obiektami usługi Azure Resource Manager usługi Azure Virtual Desktop. Jeśli używasz usługi Azure Virtual Desktop (klasycznej) bez obiektów usługi Azure Resource Manager, zobacz ten artykuł.

Usługa Azure Virtual Desktop ma delegowany model dostępu, który umożliwia zdefiniowanie dostępu określonego użytkownika przez przypisanie im roli. Przypisanie roli ma trzy składniki: podmiot zabezpieczeń, definicję roli i zakres. Model dostępu delegowanego usługi Azure Virtual Desktop jest oparty na modelu RBAC platformy Azure. Aby dowiedzieć się więcej na temat konkretnych przypisań ról i ich składników, zobacz Omówienie kontroli dostępu opartej na rolach na platformie Azure.

Dostęp delegowany usługi Azure Virtual Desktop obsługuje następujące wartości dla każdego elementu przypisania roli:

  • Podmiot zabezpieczeń
    • Użytkownicy
    • Grupy użytkowników
    • Jednostki usługi
  • Definicja roli
    • Role wbudowane
    • Role niestandardowe
  • Zakres
    • Pule hostów
    • Grupy aplikacji
    • Obszary robocze

Polecenia cmdlet programu PowerShell dla przypisań ról

Przed rozpoczęciem upewnij się, że postępuj zgodnie z instrukcjami w temacie Konfigurowanie modułu programu PowerShell, aby skonfigurować moduł Programu PowerShell usługi Azure Virtual Desktop, jeśli jeszcze tego nie zrobiono.

Usługa Azure Virtual Desktop używa kontroli dostępu opartej na rolach (RBAC) platformy Azure podczas publikowania grup aplikacji dla użytkowników lub grup użytkowników. Rola Użytkownika wirtualizacji pulpitu jest przypisywana do użytkownika lub grupy użytkowników, a zakres jest grupą aplikacji. Ta rola zapewnia użytkownikowi specjalny dostęp do danych w grupie aplikacji.

Uruchom następujące polecenie cmdlet, aby dodać użytkowników firmy Microsoft Entra do grupy aplikacji:

New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

Uruchom następujące polecenie cmdlet, aby dodać grupę użytkowników firmy Microsoft Entra do grupy aplikacji:

New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

Następne kroki

Aby uzyskać bardziej pełną listę poleceń cmdlet programu PowerShell, których może używać każda rola, zobacz dokumentację programu PowerShell.

Aby uzyskać pełną listę ról obsługiwanych w kontroli dostępu opartej na rolach platformy Azure, zobacz Role wbudowane platformy Azure.

Aby uzyskać wskazówki dotyczące konfigurowania środowiska usługi Azure Virtual Desktop, zobacz Środowisko usługi Azure Virtual Desktop.