Compartir vía

Acceso delegado en Azure Virtual Desktop (clásico)

  • Artículo

Importante

Este contenido se aplica a Azure Virtual Desktop (clásico), que no admite objetos de Azure Resource Manager de Azure Virtual Desktop. Si está intentando administrar objetos de Azure Resource Manager de Azure Virtual Desktop, consulte este artículo.

Azure Virtual Desktop tiene un modelo de acceso delegado que le permite definir la cantidad de acceso que puede tener un usuario determinado asignando un rol. Una asignación de roles tiene tres componentes: entidad de seguridad, definición de rol y ámbito. El modelo de acceso delegado de Azure Virtual Desktop se basa en el modelo de RBAC de Azure. Para más información sobre las asignaciones de roles específicas y sus componentes, consulte información general sobre el control de acceso basado en roles de Azure.

El acceso delegado de Azure Virtual Desktop admite los siguientes valores para cada elemento de la asignación de roles:

  • Principal de seguridad
    • Usuarios
    • Entidades de servicio
  • Definición de roles
    • Roles integrados
  • Alcance
    • Grupos de inquilinos
    • Inquilinos
    • Grupos de hosts
    • Grupos de aplicaciones

Roles predeterminados

El acceso delegado en Azure Virtual Desktop tiene varias definiciones de roles integradas que puede asignar a usuarios y entidades de servicio.

  • Un propietario de RDS puede administrar todo, incluido el acceso a los recursos.
  • Un colaborador de RDS puede administrar todo, pero no puede acceder a los recursos.
  • Un lector de RDS puede ver todo, pero no puede realizar ningún cambio.
  • Un operador de RDS puede ver las actividades de diagnóstico.

Cmdlets de PowerShell para asignaciones de roles

Puede ejecutar los siguientes cmdlets para crear, ver y quitar asignaciones de roles:

  • Get-RdsRoleAssignment muestra una lista de asignaciones de roles.
  • new-RdsRoleAssignment crea una nueva asignación de roles.
  • Remove-RdsRoleAssignment elimina las asignaciones de roles.

Parámetros aceptados

Puede modificar los tres cmdlets básicos con los siguientes parámetros:

  • AadTenantId: especifica el ID de arrendatario de Microsoft Entra del que la entidad de servicio es miembro.
  • AppGroupName: nombre del grupo de aplicaciones de Escritorio remoto.
  • diagnóstico: indica el ámbito de diagnóstico. (Debe emparejarse con el parámetro Infrastructure o con Tenant).
  • HostPoolName: nombre del grupo de hosts del escritorio remoto.
  • infraestructura: indica el ámbito de la infraestructura.
  • RoleDefinitionName: nombre del rol de control de acceso basado en Servicios de Escritorio Remoto asignado al usuario, grupo o aplicación. (Por ejemplo, Propietario de servicios de Escritorio remoto, Lector de servicios de Escritorio remoto, etc.)
  • ServerPrincipleName: nombre de la aplicación Microsoft Entra.
  • signInName: la dirección de correo electrónico del usuario o el nombre principal de usuario.
  • TenantName: nombre del inquilino de Escritorio remoto.

Pasos siguientes

Para obtener una lista más completa de los cmdlets de PowerShell que puede usar cada rol, consulte la referencia de PowerShell.

Para obtener instrucciones sobre cómo configurar un entorno de Azure Virtual Desktop, consulte entorno de Azure Virtual Desktop.