Condividi tramite

Accesso delegato in Azure Virtual Desktop (classico)

  • Articolo

Importante

Questo contenuto si applica ad Azure Virtual Desktop (classico), che non supporta gli oggetti di Azure Virtual Desktop di Azure Resource Manager. Se stai cercando di gestire gli oggetti di Azure Virtual Desktop di Azure Resource Manager, vedi questo articolo.

Desktop virtuale Azure ha un modello di accesso delegato che consente di definire la quantità di accesso consentito a un determinato utente assegnando loro un ruolo. Un'assegnazione di ruolo ha tre componenti: il principale di sicurezza, la definizione del ruolo e l'ambito. Il modello di accesso delegato di Azure Virtual Desktop si basa sul modello di controllo degli accessi in base al ruolo di Azure. Per altre informazioni sulle assegnazioni di ruolo specifiche e sui relativi componenti, vedere panoramica del controllo degli accessi in base al ruolo di Azure.

L'accesso delegato di Desktop virtuale Azure supporta i valori seguenti per ogni elemento dell'assegnazione di ruolo:

  • Principal di sicurezza
    • Gli utenti
    • Principale del servizio
  • Definizione del ruolo
    • Ruoli predefiniti
  • Ambito
    • Gruppi di tenant
    • Inquilini
    • Pool di host
    • Gruppi di applicazioni

Ruoli predefiniti

L'accesso delegato in Desktop virtuale Azure include diverse definizioni di ruolo predefinite che è possibile assegnare agli utenti e alle entità servizio.

  • Un proprietario di Servizi Desktop Remoto (RDS) può gestire tutto, incluso l'accesso remoto alle risorse.
  • Un collaboratore RDS può gestire tutto, ma non può accedere alle risorse.
  • Un Lettore RDS può visualizzare tutto, ma non può apportare modifiche.
  • Un operatore RDS può visualizzare le attività di diagnostica.

Cmdlet di PowerShell per le assegnazioni di ruolo

È possibile eseguire i cmdlet seguenti per creare, visualizzare e rimuovere assegnazioni di ruolo:

  • Get-RdsRoleAssignment visualizza un elenco di assegnazioni di ruolo.
  • New-RdsRoleAssignment crea una nuova assegnazione di ruolo.
  • Remove-RdsRoleAssignment elimina le assegnazioni di ruolo.

Parametri accettati

È possibile modificare i tre cmdlet di base con i parametri seguenti:

  • AadTenantId: specifica l'ID tenant di Microsoft Entra di cui l'entità del servizio è un membro.
  • AppGroupName: nome del gruppo di applicazioni Desktop remoto.
  • diagnosi: indica l'ambito diagnostico. Deve essere associato con i parametri Infrastructure oppure Tenant.
  • HostPoolName: nome del pool di host Remote Desktop.
  • Infrastruttura: indica l'ambito dell'infrastruttura.
  • RoleDefinitionName: nome del ruolo di controllo degli accessi basato sui ruoli di Servizi Desktop remoto assegnato all'utente, al gruppo o all'app. Ad esempio, Proprietario Servizi Desktop Remoto, Lettore Servizi Desktop Remoto e così via.
  • ServerPrincipleName: nome dell'applicazione Microsoft Entra.
  • SignInName: l'indirizzo di posta elettronica dell'utente o il nome principale dell'utente.
  • TenantName: nome del tenant di Desktop remoto.

Passaggi successivi

Per un elenco più completo dei cmdlet di PowerShell che ogni ruolo può usare, vedere il riferimento a PowerShell .

Per indicazioni su come configurare un ambiente Desktop virtuale Azure, vedere ambiente Desktop virtuale Azure.