Azure 虛擬桌面中的委派存取權

重要

本內容適用於具有 Azure Resource Manager Azure 虛擬桌面物件的 Azure 虛擬桌面。 如果您使用不含 Azure Resource Manager 物件的 Azure 虛擬桌面 (傳統)，請參閱此文章。

Azure 虛擬桌面具有委派的存取模型，可讓您藉由指派其角色來定義允許特定使用者擁有的存取量。 角色指派是由三個元件所組成：安全性主體、角色定義和範圍。 Azure 虛擬桌面委派存取模型會以 Azure RBAC 模型為基礎。 若要深入了解特定角色指派及其要素，請參閱 Azure 角色型存取控制概觀 (機器翻譯)。

Azure 虛擬桌面委派存取支援每個角色指派元素的下列值：

• 安全性主體
  • 使用者
  • 使用者群組
  • 服務主體
• 角色定義
  • 內建角色
  • 自訂角色
• 影響範圍
  • 主機集區
  • 應用程式群組
  • 工作區

角色指派的 PowerShell Cmdlet

開始之前，如果您尚未設定 Azure 虛擬桌面 PowerShell 模組，請務必依照設定 PowerShell 模組中的指示設定。

Azure 虛擬桌面將應用程式群組發佈至使用者或使用者群組時，使用 Azure 角色型存取控制 (Azure RBAC)。 桌面虛擬化使用者角色會指派給使用者或使用者群組，範圍是應用程式群組。 此角色提供使用者應用程式群組的特殊資料存取權。

執行下列 Cmdlet，將 Microsoft Entra 使用者新增至應用程式群組：

New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

執行下列 Cmdlet，將 Microsoft Entra 使用者群組新增至應用程式群組：

New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

下一步

如需每個角色可使用的 PowerShell Cmdlet 更完整清單，請參閱 PowerShell 參考 (英文)。

如需 Azure RBAC 中支援的角色完整清單，請參閱 Azure 內建角色 (機器翻譯)。

如需如何設定 Azure 虛擬桌面環境的指導方針，請參閱 Azure 虛擬桌面環境。