Freigeben über


Delegierter Zugriff in Azure Virtual Desktop (klassisch)

Wichtig

Dieser Inhalt gilt für Azure Virtual Desktop (klassisch). Der Dienst unterstützt keine Azure Virtual Desktop-Objekte in Azure Resource Manager. Wenn Sie Azure Virtual Desktop-Objekte in Azure Resource Manager verwalten möchten, helfen Ihnen die Informationen in diesem Artikel weiter.

Azure Virtual Desktop verfügt über ein Modell mit delegiertem Zugriff, mit dem Sie für Benutzer eine bestimmte Zugriffsebene festlegen können, indem Sie ihnen eine Rolle zuweisen. Eine Rollenzuweisung besteht aus drei Komponenten: Sicherheitsprinzipal, Rollendefinition und Bereich. Das Modell für delegierten Zugriff von Azure Virtual Desktop basiert auf dem Azure RBAC-Modell. Weitere Informationen zu bestimmten Rollenzuweisungen und den zugehörigen Komponenten finden Sie unter Integrierte Rollen für die rollenbasierte Zugriffssteuerung in Azure.

Beim delegierten Zugriff von Azure Virtual Desktop werden für jedes Element der Rollenzuweisung die folgenden Werte unterstützt:

  • Sicherheitsprinzipal
    • Benutzer
    • Dienstprinzipale
  • Rollendefinition
    • Integrierte Rollen
  • `Scope`
    • Mandantengruppen
    • Mandanten
    • Hostpools
    • Anwendungsgruppen

Integrierte Rollen

Der delegierte Zugriff in Azure Virtual Desktop verfügt über mehrere integrierte Rollendefinitionen, die Sie Benutzern und Dienstprinzipalen zuweisen können.

  • RDS-Besitzer können alles verwalten, einschließlich des Zugriffs auf Ressourcen.
  • RDS-Mitwirkende können alles verwalten, besitzen jedoch keinen Zugriff auf Ressourcen.
  • RDS-Leser können alles anzeigen, jedoch keine Änderungen vornehmen.
  • RDS-Bediener können Diagnoseaktivitäten anzeigen.

PowerShell-Cmdlets für Rollenzuweisungen

Sie können die folgenden Cmdlets ausführen, um Rollenzuweisungen zu erstellen, anzuzeigen und zu entfernen:

  • Mit Get-RdsRoleAssignment wird eine Liste mit Rollenzuweisungen angezeigt.
  • Mit New-RdsRoleAssignment wird eine neue Rollenzuweisung erstellt.
  • Mit Remove-RdsRoleAssignment werden Rollenzuweisungen gelöscht.

Akzeptierte Parameter

Sie können die drei grundlegenden Cmdlets mit den folgenden Parametern ändern:

  • AadTenantId: Gibt die ID des Microsoft Entra-Mandanten an, dessen Mitglied der Dienstprinzipal ist.
  • AppGroupName: Der Name der RemoteDesktop-Anwendungsgruppe.
  • Diagnostics: Gibt den Diagnosebereich an. (Muss entweder mit dem Parameter Infrastructure oder Tenant gekoppelt werden.)
  • HostPoolName: Name des Remotedesktop-Hostpools.
  • Infrastructure: Gibt den Infrastrukturbereich an.
  • RoleDefinitionName: Der Name der Remotedesktopdienste-Rolle der rollenbasierten Zugriffssteuerung, die dem Benutzer, der Gruppe oder der App zugewiesen ist. (Beispiel: Remotedesktopdienste-Besitzer, Remotedesktopdienste-Leser usw.)
  • ServerPrincipleName: Name der Microsoft Entra-Anwendung.
  • SignInName: Die E-Mail-Adresse oder der Benutzerprinzipalname des Benutzers.
  • TenantName: Der Name des Remotedesktop-Mandanten.

Nächste Schritte

Eine vollständigere Liste mit PowerShell-Cmdlets, die von den einzelnen Rollen verwendet werden können, finden Sie in der PowerShell-Referenz.

Eine Anleitung zum Einrichten einer Azure Virtual Desktop-Umgebung finden Sie unter Azure Virtual Desktop-Umgebung.