Freigeben über

Delegierter Zugriff in Azure Virtual Desktop (klassisch)

  • Artikel

Wichtig

Dieser Inhalt gilt für Azure Virtual Desktop (klassisch), der Azure Resource Manager Azure Virtual Desktop-Objekte nicht unterstützt. Wenn Sie versuchen, Azure Resource Manager Azure Virtual Desktop-Objekte zu verwalten, lesen Sie diesen Artikel.

Azure Virtual Desktop verfügt über ein delegiertes Zugriffsmodell, mit dem Sie den Zugriff eines bestimmten Benutzers definieren können, indem Sie ihm eine Rolle zuweisen. Eine Rollenzuweisung umfasst drei Komponenten: Sicherheitsprinzip, Rollendefinition und Bereich. Das delegierte Azure Virtual Desktop-Zugriffsmodell basiert auf dem Azure RBAC-Modell. Weitere Informationen zu bestimmten Rollenzuweisungen und deren Komponenten finden Sie in der Azure-rollenbasierten Zugriffssteuerungs-Übersicht.

Der delegierte Azure Virtual Desktop-Zugriff unterstützt die folgenden Werte für jedes Element der Rollenzuweisung:

  • Sicherheitsprinzipal
    • Benutzer
    • Dienstprinzipale
  • Rollendefinition
    • Integrierte Rollen
  • Umfang
    • Mietergruppen
    • Pächter
    • Hostpools
    • Anwendungsgruppen

Integrierte Rollen

Der delegierte Zugriff in Azure Virtual Desktop verfügt über mehrere integrierte Rollendefinitionen, die Sie Benutzern und Dienstprinzipalen zuweisen können.

  • Ein RDS-Besitzer kann alles verwalten, einschließlich des Zugriffs auf Ressourcen.
  • Ein RDS-Mitwirkender kann alles verwalten, aber nicht auf Ressourcen zugreifen.
  • Ein RDS-Reader kann alles anzeigen, aber keine Änderungen vornehmen.
  • Ein RDS-Bediener kann Diagnoseaktivitäten anzeigen.

PowerShell-Cmdlets für Rollenzuweisungen

Sie können die folgenden Cmdlets ausführen, um Rollenzuweisungen zu erstellen, anzuzeigen und zu entfernen:

  • Get-RdsRoleAssignment zeigt eine Liste der Rollenzuweisungen an.
  • New-RdsRoleAssignment erstellt eine neue Rollenzuweisung.
  • Remove-RdsRoleAssignment löscht Rollenzuweisungen.

Akzeptierte Parameter

Sie können die drei grundlegenden Cmdlets mit den folgenden Parametern ändern:

  • AadTenantId: Gibt die Microsoft Entra-Mandanten-ID an, aus der der Dienstprinzipal Mitglied ist.
  • AppGroupName: Name der Remotedesktop-Anwendungsgruppe.
  • Diagnose: Gibt den Diagnosebereich an. (Muss mit den Parametern Infrastructure oder Tenant gekoppelt werden.)
  • HostPoolName: Name des Remote-Desktop-Host-Pools.
  • Infrastructure: gibt den Infrastrukturbereich an.
  • RoleDefinitionName: Name der rollenbasierten Zugriffssteuerungsrolle für Remotedesktopdienste, die dem Benutzer, der Gruppe oder der App zugewiesen ist. (z. B. Besitzer der Remotedesktopdienste, Leser der Remotedesktopdienste usw.)
  • ServerPrincipleName: Name der Microsoft Entra-Anwendung.
  • SignInName: die E-Mail-Adresse des Benutzers oder der Benutzerprinzipalname.
  • TenantName: Name des Remote-Desktop-Mandanten.

Nächste Schritte

Eine vollständige Liste der PowerShell-Cmdlets, die jede Rolle verwenden kann, finden Sie in der PowerShell-Referenz.

Richtlinien zum Einrichten einer Azure Virtual Desktop-Umgebung finden Sie unter Azure Virtual Desktop-Umgebung.