Поделиться через

Делегированный доступ в виртуальном рабочем столе Azure (классическая модель)

  • Статья

Важно

Это содержимое относится к виртуальному рабочему столу Azure (классическому), который не поддерживает объекты Виртуального рабочего стола Azure Resource Manager Azure. Если вы пытаетесь управлять объектами Azure Resource Manager Azure Virtual Desktop, см. в этой статье.

Виртуальный рабочий стол Azure имеет делегированную модель доступа, которая позволяет определить объем доступа определенного пользователя, назначив им роль. Назначение роли имеет три компонента: субъект безопасности, определение роли и область. Модель делегированного доступа виртуального рабочего стола Azure основана на модели Azure RBAC. Дополнительные сведения о конкретных назначениях ролей и их компонентах см. в обзоре управления доступом на основе ролей Azure.

Делегированный доступ к виртуальному рабочему столу Azure поддерживает следующие значения для каждого элемента назначения роли:

  • Субъект безопасности
    • Пользователи
    • Субъекты-службы
  • Определение роли
    • Встроенные роли
  • Размах
    • Группы клиентов
    • Арендаторов
    • Пулы хостов
    • Группы приложений

Встроенные роли

Делегированный доступ в Виртуальном рабочем столе Azure содержит несколько встроенных определений ролей, которые можно назначить пользователям и субъектам-службам.

  • Владелец RDS может управлять всем, включая доступ к ресурсам.
  • Участник RDS может управлять всем, но не может получить доступ к ресурсам.
  • Читатель RDS может просматривать любой контент, но не может ничего изменять.
  • Оператор RDS может просматривать диагностические действия.

Командлеты PowerShell для назначений ролей

Для создания, просмотра и удаления назначений ролей можно выполнить следующие командлеты:

  • Get-RdsRoleAssignment отображает список назначений ролей.
  • New-RdsRoleAssignment создает новое назначение ролей.
  • Remove-RdsRoleAssignment удаляет назначения ролей.

Принятые параметры

Вы можете изменить три основных командлета с помощью следующих параметров:

  • AadTenantId: указывает идентификатор клиента Microsoft Entra, к которому привязана учетная запись службы.
  • AppGroupName: имя группы приложений удаленного рабочего стола.
  • Диагностика: указывает сферу диагностики. (Необходимо использовать либо параметры инфраструктуры, либо клиента.)
  • HostPoolName: имя пула узлов удаленного рабочего стола.
  • Инфраструктура: указывает область охвата инфраструктуры.
  • RoleDefinitionName: имя роли управления доступом на основе ролей в службах удалённых рабочих столов, назначенной пользователю, группе или приложению. (Например, владелец удаленных рабочих столов служб, пользователь с правами чтения удаленных рабочих столов служб и другие.)
  • ServerPrincipleName: имя приложения Microsoft Entra.
  • SignInName: адрес электронной почты пользователя или основное имя пользователя.
  • Имя арендатора: имя арендатора удаленного рабочего стола.

Дальнейшие действия

Для более полного списка командлетов PowerShell, которые может использовать каждая роль, см. в справочнике по PowerShell.

Рекомендации по настройке среды виртуального рабочего стола Azure см. в среде виртуального рабочего стола Azure.