Planifier et implémenter les rôles Azure et le contrôle d’accès en fonction du rôle pour Azure Virtual Desktop

Azure Virtual Desktop dispose d’un modèle d’accès délégué qui permet de définir les droits d’accès d’un utilisateur particulier en lui attribuant un rôle.

Une attribution de rôle se compose de trois éléments : un principal de sécurité, une définition de rôle et une étendue.

Le modèle d’accès délégué Azure Virtual Desktop est basé sur le modèle de contrôle d’accès en fonction du rôle (RBAC) Azure.

L’accès délégué d’Azure Virtual Desktop prend en charge les valeurs suivantes pour chaque élément de l’attribution de rôle :

Principal de sécurité

• Utilisateurs
• Groupes d’utilisateurs
• Principaux de service

Définition de rôle

• Rôles intégrés
• Rôles personnalisés

Portée

• Pools hôtes
• Groupes d’applications
• Espaces de travail

Cmdlets Azure PowerShell pour les attributions de rôles

Azure Virtual Desktop utilise le contrôle d’accès en fonction du rôle (RBAC) Azure tout en publiant des groupes d’applications vers des utilisateurs ou des groupes d’utilisateurs. Le rôle d’utilisateur Virtualisation du Bureau est attribué à l’utilisateur ou au groupe d’utilisateurs et l’étendue correspond au groupe d’applications. Ce rôle donne à l’utilisateur un accès spécial aux données sur le groupe d’applications.

Exécutez la cmdlet suivante pour ajouter des utilisateurs Microsoft Entra à un groupe d’applications :

New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

Exécutez la cmdlet suivante pour ajouter un groupe d’utilisateurs Microsoft Entra à un groupe d’applications :

New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'