Delegerad åtkomst i Azure Virtual Desktop

  • Artikel

Viktigt!

Det här innehållet gäller för Azure Virtual Desktop med Azure Resource Manager Azure Virtual Desktop-objekt. Om du använder Azure Virtual Desktop (klassisk) utan Azure Resource Manager-objekt kan du läsa den här artikeln.

Azure Virtual Desktop har en delegerad åtkomstmodell som gör att du kan definiera hur mycket åtkomst en viss användare tillåts ha genom att tilldela dem en roll. En rolltilldelning har tre komponenter: säkerhetsobjekt, rolldefinition och omfång. Azure Virtual Desktop-delegerad åtkomstmodell baseras på Azure RBAC-modellen. Mer information om specifika rolltilldelningar och deras komponenter finns i översikten över rollbaserad åtkomstkontroll i Azure.

Azure Virtual Desktop-delegerad åtkomst stöder följande värden för varje element i rolltilldelningen:

  • Säkerhetsobjekt
    • Användare
    • Användargrupper
    • Tjänstens huvudnamn
  • Rolldefinition
    • Inbyggda roller
    • Anpassade roller
  • Omfattning
    • Värdpooler
    • Programgrupper
    • Arbetsytor

PowerShell-cmdletar för rolltilldelningar

Innan du börjar måste du följa anvisningarna i Konfigurera PowerShell-modulen för att konfigurera Azure Virtual Desktop PowerShell-modulen om du inte redan har gjort det.

Azure Virtual Desktop använder rollbaserad åtkomstkontroll i Azure (Azure RBAC) när programgrupper publiceras till användare eller användargrupper. Rollen Virtualiseringsanvändare för skrivbord tilldelas till användar- eller användargruppen och omfånget är programgruppen. Den här rollen ger användaren särskild dataåtkomst i programgruppen.

Kör följande cmdlet för att lägga till Microsoft Entra-användare i en programgrupp:

New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

Kör följande cmdlet för att lägga till Microsoft Entra-användargruppen i en programgrupp:

New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

Nästa steg

En mer fullständig lista över PowerShell-cmdletar som varje roll kan använda finns i PowerShell-referensen.

En fullständig lista över roller som stöds i Azure RBAC finns i Inbyggda Azure-roller.

Riktlinjer för hur du konfigurerar en Azure Virtual Desktop-miljö finns i Azure Virtual Desktop-miljön.