Acesso delegado na Área de Trabalho Virtual do Azure (clássica)

Importante

Este conteúdo se aplica à Área de Trabalho Virtual do Azure (clássica), que não dá suporte a objetos do Azure Resource Manager. Se você estiver tentando gerenciar objetos do Azure Resource Manager na Área de Trabalho Virtual do Azure, confira este artigo.

A Área de Trabalho Virtual do Azure tem um modelo de acesso delegado que permite definir quantos acessos um usuário específico pode ter atribuindo a ele uma função. Uma atribuição de função possui três componentes: entidade de segurança, definição de função e escopo. O modelo de acesso delegado da Área de Trabalho Virtual do Azure baseia-se no modelo do RBAC do Azure. Para saber mais sobre atribuições de função específicas e seus componentes, consulte a visão geral do controle de acesso baseado em função do Azure.

O acesso delegado da Área de Trabalho Virtual do Azure oferece suporte aos seguintes valores para cada elemento da atribuição de função:

  • Entidade de segurança
    • Usuários
    • Entidades de serviço
  • Definição de função
    • Funções internas
  • Escopo
    • Grupos de locatários
    • Locatários
    • Pools de host
    • Grupos de aplicativos

Funções internas

O acesso delegado na Área de Trabalho Virtual do Azure tem várias definições de funções internas que você pode atribuir a usuários e entidades de serviço.

  • Um Proprietário do RDS pode gerenciar tudo, incluindo o acesso aos recursos.
  • Um Colaborador do RDS pode gerenciar tudo, mas não pode acessar recursos.
  • Um Leitor do RDS pode exibir tudo, mas não pode fazer alterações.
  • Um Operador do RDS pode exibir atividades de diagnóstico.

Cmdlets do PowerShell para atribuições de função

Você pode executar os seguintes cmdlets para criar, exibir e remover atribuições de função:

  • Get-RdsRoleAssignment exibe uma lista de atribuições de função.
  • New-RdsRoleAssignment cria uma nova atribuição de função.
  • Remove-RdsRoleAssignment exclui atribuições de função.

Parâmetros aceitos

Você pode modificar os três cmdlets básicos com os seguintes parâmetros:

  • AadTenantId: especifica a ID do locatário do Azure Active Directory da qual a entidade de serviço é um membro.
  • AppGroupName: nome do grupo de aplicativos da Área de Trabalho Remota.
  • Diagnostics: indica o escopo do diagnóstico. (Deve ser emparelhado com os parâmetros Infrastructure ou Tenant.)
  • HostPoolName: nome do pool de host da Área de Trabalho Remota.
  • Infrastructure: indica o escopo da infraestrutura.
  • RoleDefinitionName: o nome da função de controle de acesso baseado em função dos Serviços da Área de Trabalho Remota atribuída ao usuário, ao grupo ou ao aplicativo. (Por exemplo, Proprietário dos Serviços da Área de Trabalho Remota, Leitor dos Serviços da Área de Trabalho Remota, e assim por diante.)
  • ServerPrincipleName: nome do aplicativo Azure Active Directory.
  • SignInName: o endereço de email do usuário ou o nome principal do usuário.
  • TenantName: nome do locatário da Área de Trabalho Remota.

Próximas etapas

Para obter uma lista mais completa de cmdlets do PowerShell que cada função pode usar, consulte a referência do PowerShell.

Para obter diretrizes sobre como configurar um ambiente da Área de Trabalho Virtual do Azure, consulte Ambiente da Área de Trabalho Virtual do Azure.