Udostępnij za pośrednictwem

Dostęp delegowany w usłudze Azure Virtual Desktop (wersja klasyczna)

  • Artykuł

Ważny

Ta zawartość dotyczy usługi Azure Virtual Desktop (klasycznej), która nie obsługuje obiektów usługi Azure Resource Manager usługi Azure Virtual Desktop. Jeśli próbujesz zarządzać obiektami w Azure Resource Manager dla usługi Azure Virtual Desktop, zobacz ten artykuł.

Usługa Azure Virtual Desktop ma delegowany model dostępu, który umożliwia zdefiniowanie dostępu określonego użytkownika przez przypisanie im roli. Przypisanie roli składa się z trzech elementów: podmiotu zabezpieczeń, definicji roli i zakresu. Model dostępu delegowanego usługi Azure Virtual Desktop jest oparty na modelu RBAC platformy Azure. Aby dowiedzieć się więcej na temat konkretnych przypisań ról i ich składników, zobacz omówienie kontroli dostępu opartej na rolach platformy Azure.

Dostęp delegowany usługi Azure Virtual Desktop obsługuje następujące wartości dla każdego elementu przypisania roli:

  • Podmiot zabezpieczeń
    • Użytkownicy
    • Podmioty usługi
  • Definicja roli
    • Wbudowane role
  • Zakres
    • Grupy dzierżaw
    • Najemcy
    • Grupy hostów
    • Grupy aplikacji

Wbudowane role

Dostęp delegowany w usłudze Azure Virtual Desktop ma kilka wbudowanych definicji ról, które można przypisać do użytkowników i jednostek usługi.

  • Właściciel usługi RDS może zarządzać wszystkim, w tym dostępem do zasobów.
  • Współtwórca RDS może zarządzać wszystkimi aspektami, ale nie może uzyskać dostępu do zasobów.
  • Czytnik RDS może wyświetlać wszystko, ale nie może wprowadzać żadnych zmian.
  • RDS Operator może wyświetlać działania diagnostyczne.

Polecenia cmdlet programu PowerShell dla przypisań ról

Możesz uruchomić następujące polecenia cmdlet, aby utworzyć, wyświetlić i usunąć przypisania ról:

  • Get-RdsRoleAssignment wyświetla listę przypisań ról.
  • New-RdsRoleAssignment tworzy nowe przypisanie roli.
  • Remove-RdsRoleAssignment usuwa przypisania ról.

Zaakceptowane parametry

Podstawowe trzy polecenia cmdlet można zmodyfikować przy użyciu następujących parametrów:

  • AadTenantId: określa identyfikator dzierżawy firmy Microsoft Entra, z którego jednostka usługi jest członkiem.
  • AppGroupName: nazwa grupy aplikacji pulpitu zdalnego.
  • Diagnostyka: wskazuje zakres diagnostyki. (Musi być sparowana z parametrem Infrastructure lub Tenant.)
  • HostPoolName: nazwa puli hostów Pulpitu zdalnego.
  • Infrastructure: wskazuje zakres infrastruktury.
  • RoleDefinitionName: nazwa roli kontroli dostępu opartej na rolach usług pulpitu zdalnego przypisana do użytkownika, grupy lub aplikacji. (Na przykład właściciel usług pulpitu zdalnego, czytnik usług pulpitu zdalnego itd.)
  • ServerPrincipleName: nazwa aplikacji Microsoft Entra.
  • SignInName: adres e-mail użytkownika lub główna nazwa użytkownika.
  • TenantName: nazwa dzierżawy Pulpitu zdalnego.

Następne kroki

Aby uzyskać bardziej pełną listę poleceń cmdlet programu PowerShell, których może używać każda rola, zobacz dokumentacja programu PowerShell.

Aby uzyskać wskazówki dotyczące konfigurowania środowiska usługi Azure Virtual Desktop, zobacz środowisko usługi Azure Virtual Desktop.