Dela via

Delegerad åtkomst i Azure Virtual Desktop (klassisk)

  • Artikel

Viktig

Det här innehållet gäller för Azure Virtual Desktop (klassiskt), som inte stöder Azure Resource Manager Azure Virtual Desktop-objekt. Om du försöker hantera Azure Virtual Desktop-objekt i Azure Resource Manager kan du läsa den här artikeln.

Azure Virtual Desktop har en delegerad åtkomstmodell som gör att du kan definiera hur mycket åtkomst en viss användare tillåts ha genom att tilldela dem en roll. En rolltilldelning har tre komponenter: säkerhetsobjekt, rolldefinition och omfång. Azure Virtual Desktop-delegerad åtkomstmodell baseras på Azure RBAC-modellen. Mer information om specifika rolltilldelningar och deras komponenter finns i översikten över rollbaserad åtkomstkontroll i Azure.

Azure Virtual Desktop-delegerad åtkomst stöder följande värden för varje element i rolltilldelningen:

  • Säkerhetsentitet
    • Användare
    • Service principals
  • Rolldefinition
    • Inbyggda roller
  • Omfattning
    • Klientgrupper
    • Hyresgäster
    • Värdpooler
    • Applikationsgrupper

Inbyggda roller

Delegerad åtkomst i Azure Virtual Desktop har flera inbyggda rolldefinitioner som du kan tilldela till användare och tjänstens huvudnamn.

  • En RDS-ägare kan hantera allt, inklusive åtkomst till resurser.
  • En RDS-deltagare kan hantera allt, men har ingen åtkomst till resurser.
  • En RDS-läsare kan visa allt, men kan inte göra några ändringar.
  • En RDS-operatör kan visa diagnostikaktiviteter.

PowerShell-cmdletar för rolltilldelningar

Du kan köra följande cmdletar för att skapa, visa och ta bort rolltilldelningar:

  • Get-RdsRoleAssignment visar en lista över rolltilldelningar.
  • New-RdsRoleAssignment skapar en ny rolltilldelning.
  • Remove-RdsRoleAssignment tar bort rolltilldelningar.

Godkända parametrar

Du kan ändra de grundläggande tre cmdletarna med följande parametrar:

  • AadTenantId: anger det Klient-ID för Microsoft Entra som tjänstens huvudnamn är medlem från.
  • AppGroupName: namnet på programgruppen Fjärrskrivbord.
  • Diagnostik: anger den diagnostiska omfattningen. (Måste paras ihop med parametrarna Infrastructure eller Tenant.)
  • HostPoolName: namnet på värdpoolen för fjärrskrivbord.
  • Infrastruktur: anger infrastrukturomfånget.
  • RoleDefinitionName: namnet på rollbaserad åtkomstkontrollroll för Fjärrskrivbordstjänster som tilldelats användaren, gruppen eller appen. (Till exempel Ägare av fjärrskrivbordstjänster, Läsare av fjärrskrivbordstjänster och så vidare.)
  • ServerPrincipleName: namnet på Microsoft Entra-programmet.
  • SignInName: användarens e-postadress eller användarens huvudnamn.
  • TenantName: namnet på fjärrskrivbordshyresgästen.

Nästa steg

En mer fullständig lista över PowerShell-cmdletar som varje roll kan använda finns i PowerShell-referensen.

Riktlinjer för hur du konfigurerar en Azure Virtual Desktop-miljö finns i Azure Virtual Desktop-miljö.