Partilhar via

Acesso delegado na Área de Trabalho Virtual do Azure (clássico)

  • Artigo

Importante

Esse conteúdo se aplica à Área de Trabalho Virtual do Azure (clássica), que não dá suporte a objetos da Área de Trabalho Virtual do Azure Resource Manager. Se você estiver tentando gerenciar objetos do Azure Resource Manager e do Azure Virtual Desktop, consulte este artigo.

A Área de Trabalho Virtual do Azure tem um modelo de acesso delegado que permite definir a quantidade de acesso que um usuário específico pode ter atribuindo-lhes uma função. Uma atribuição de função tem três componentes: entidade de segurança, definição de função e escopo. O modelo de acesso delegado da Área de Trabalho Virtual do Azure baseia-se no modelo rbac do Azure. Para saber mais sobre atribuições de função específicas e seus componentes, consulte a visão geral do controle de acesso baseado em função do Azure.

O acesso delegado da Área de Trabalho Virtual do Azure dá suporte aos seguintes valores para cada elemento da atribuição de função:

  • Entidade de segurança
    • Usuários
    • Entidades de serviço
  • Definição de função
    • Funções integradas
  • Âmbito
    • Grupos de locatários
    • Inquilinos
    • Grupos de hospedeiros
    • Grupos de aplicativos

Funções padrão

O acesso delegado na Área de Trabalho Virtual do Azure tem várias definições de função internas que você pode atribuir a usuários e entidades de serviço.

  • Um Proprietário de RDS pode gerenciar tudo, incluindo o acesso aos recursos.
  • Um Colaborador de RDS pode gerenciar tudo, mas não pode acessar recursos.
  • Um leitor de RDS pode exibir tudo, mas não pode fazer nenhuma alteração.
  • Um operador RDS pode exibir atividades de diagnóstico.

Cmdlets do PowerShell para atribuições de função

Você pode executar os seguintes cmdlets para criar, exibir e remover atribuições de função:

  • Get-RdsRoleAssignment exibe uma lista de atribuições de função.
  • New-RdsRoleAssignment cria uma nova atribuição de função.
  • Remove-RdsRoleAssignment exclui atribuições de função.

Parâmetros aceitos

Você pode modificar os três cmdlets básicos com os seguintes parâmetros:

  • AadTenantId: especifica a ID do inquilino do Microsoft Entra do qual o principal do serviço é um membro.
  • AppGroupName: nome do grupo de aplicativos da Área de Trabalho Remota.
  • Diagnóstico: indica o escopo do diagnóstico. (Deve ser combinado com os parâmetros de Infraestrutura ou de inquilino .)
  • HostPoolName: nome do pool de host da Área de Trabalho Remota.
  • Infraestrutura: indica o escopo da infraestrutura.
  • RoleDefinitionName: nome da função de controle de acesso baseada em funções dos Serviços de Área de Trabalho Remota atribuída ao usuário, grupo ou aplicativo. (Por exemplo, Proprietário dos Serviços de Área de Trabalho Remota, Leitor de Serviços de Área de Trabalho Remota e assim por diante.)
  • ServerPrincipleName: nome do aplicativo Microsoft Entra.
  • SignInName: o endereço de email do usuário ou o nome principal do usuário.
  • TenantName: nome do locatário da Área de Trabalho Remota.

Próximas etapas

Para obter uma lista mais completa de cmdlets do PowerShell que cada função pode usar, consulte a referência PowerShell.

Para obter diretrizes sobre como configurar um ambiente de Área de Trabalho Virtual do Azure, consulte ambiente da Área de Trabalho Virtual do Azure.