Planowanie i implementowanie ról platformy Azure oraz kontroli dostępu opartej na rolach (RBAC) dla usługi Azure Virtual Desktop
Usługa Azure Virtual Desktop ma delegowany model dostępu, który umożliwia zdefiniowanie dostępu określonego użytkownika przez przypisanie im roli.
Przypisanie roli ma trzy składniki: podmiot zabezpieczeń, definicję roli i zakres.
Model dostępu delegowanego usługi Azure Virtual Desktop jest oparty na modelu kontroli dostępu opartej na rolach (RBAC) platformy Azure.
Dostęp delegowany usługi Azure Virtual Desktop obsługuje następujące wartości dla każdego elementu przypisania roli:
Podmiot zabezpieczeń
- Użytkownicy
- Grupy użytkowników
- Jednostki usługi
Definicja roli
- Role wbudowane
- Role niestandardowe
Scope
- Pule hostów
- Grupy aplikacji
- Obszary robocze
Polecenia cmdlet programu PowerShell dla przypisań ról
Usługa Azure Virtual Desktop używa kontroli dostępu opartej na rolach (RBAC) platformy Azure podczas publikowania grup aplikacji dla użytkowników lub grup użytkowników. Rola Użytkownik wirtualizacji pulpitu jest przypisywana do użytkownika lub grupy użytkowników, a zakres jest grupą aplikacji. Ta rola zapewnia użytkownikowi specjalny dostęp do danych w grupie aplikacji.
Uruchom następujące polecenie cmdlet, aby dodać użytkowników firmy Microsoft Entra do grupy aplikacji:
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Uruchom następujące polecenie cmdlet, aby dodać grupę użytkowników firmy Microsoft Entra do grupy aplikacji:
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'