Delegerad åtkomst i Azure Virtual Desktop (klassisk)

  • Artikel

Viktigt!

Det här innehållet gäller för Azure Virtual Desktop (klassiskt), som inte stöder Azure Resource Manager Azure Virtual Desktop-objekt. Om du försöker hantera Azure Resource Manager Azure Virtual Desktop-objekt kan du läsa den här artikeln.

Azure Virtual Desktop har en delegerad åtkomstmodell som gör att du kan definiera hur mycket åtkomst en viss användare tillåts ha genom att tilldela dem en roll. En rolltilldelning har tre komponenter: säkerhetsobjekt, rolldefinition och omfång. Azure Virtual Desktop-delegerad åtkomstmodell baseras på Azure RBAC-modellen. Mer information om specifika rolltilldelningar och deras komponenter finns i översikten över rollbaserad åtkomstkontroll i Azure.

Azure Virtual Desktop-delegerad åtkomst stöder följande värden för varje element i rolltilldelningen:

  • Säkerhetsobjekt
    • Användare
    • Tjänstens huvudnamn
  • Rolldefinition
    • Inbyggda roller
  • Omfattning
    • Klientgrupper
    • Klientorganisationer
    • Värdpooler
    • Programgrupper

Inbyggda roller

Delegerad åtkomst i Azure Virtual Desktop har flera inbyggda rolldefinitioner som du kan tilldela till användare och tjänstens huvudnamn.

  • En RDS-ägare kan hantera allt, inklusive åtkomst till resurser.
  • En RDS-deltagare kan hantera allt, men kan inte komma åt resurser.
  • En RDS-läsare kan visa allt, men kan inte göra några ändringar.
  • En RDS-operatör kan visa diagnostikaktiviteter.

PowerShell-cmdletar för rolltilldelningar

Du kan köra följande cmdletar för att skapa, visa och ta bort rolltilldelningar:

  • Get-RdsRoleAssignment visar en lista över rolltilldelningar.
  • New-RdsRoleAssignment skapar en ny rolltilldelning.
  • Remove-RdsRoleAssignment tar bort rolltilldelningar.

Godkända parametrar

Du kan ändra de grundläggande tre cmdletarna med följande parametrar:

  • AadTenantId: anger det Klient-ID för Microsoft Entra som tjänstens huvudnamn är medlem från.
  • AppGroupName: namnet på programgruppen Fjärrskrivbord.
  • Diagnostik: anger diagnostikomfånget. (Måste parkopplas med antingen Infrastruktur- eller klientparametrar .)
  • HostPoolName: namnet på fjärrskrivbordsvärdpoolen.
  • Infrastruktur: anger infrastrukturomfånget.
  • RoleDefinitionName: namnet på den rollbaserade åtkomstkontrollrollen för Fjärrskrivbordstjänster som tilldelats användaren, gruppen eller appen. (Till exempel Ägare av fjärrskrivbordstjänster, Läsare av fjärrskrivbordstjänster och så vidare.)
  • ServerPrincipleName: namnet på Microsoft Entra-programmet.
  • SignInName: användarens e-postadress eller användarens huvudnamn.
  • TenantName: namnet på fjärrskrivbordsklientorganisationen.

Nästa steg

En mer fullständig lista över PowerShell-cmdletar som varje roll kan använda finns i PowerShell-referensen.

Riktlinjer för hur du konfigurerar en Azure Virtual Desktop-miljö finns i Azure Virtual Desktop-miljön.