规划和实现用于 Azure 虚拟桌面的 Azure 角色和基于角色的访问控制 (RBAC)
Azure 虚拟桌面有一个委托访问模型,可通过为特定用户分配角色来定义允许该用户拥有的访问量。
角色分配包含 3 个组成部分:安全主体、角色定义和范围。
Azure 虚拟桌面委托访问模型基于 Azure 基于角色的访问控制 (RBAC) 模型。
对于角色分配的各个元素,Azure 虚拟桌面委托访问支持以下值:
安全主体
- 用户
- 用户组
- 服务主体
角色定义
- 内置角色
- 自定义角色
范围
- 主机池
- 应用组
- 工作区
用于角色分配的 PowerShell cmdlet
Azure 虚拟桌面使用 Azure 基于角色的访问控制 (RBAC),同时向用户或用户组发布应用组。 会向用户或用户组分配“桌面虚拟化用户”角色,而范围是应用组。 此角色向用户提供对应用组的特殊数据访问权限。
运行以下 cmdlet,以将 Microsoft Entra 用户添加到应用组:
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
运行以下 cmdlet,以将 Microsoft Entra 用户组添加到应用组:
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'