Planowanie i implementowanie ról platformy Azure oraz kontroli dostępu opartej na rolach (RBAC) dla usługi Azure Virtual Desktop

Usługa Azure Virtual Desktop ma delegowany model dostępu, który umożliwia zdefiniowanie dostępu określonego użytkownika przez przypisanie im roli.

Przypisanie roli ma trzy składniki: podmiot bezpieczeństwa, definicja roli i zakres.

Model dostępu delegowanego usługi Azure Virtual Desktop jest oparty na modelu kontroli dostępu opartej na rolach (RBAC) platformy Azure.

Dostęp delegowany usługi Azure Virtual Desktop obsługuje następujące wartości dla każdego elementu przypisania roli:

Podmiot bezpieczeństwa

• Użytkownicy
• Grupy użytkowników
• Podmioty usługi

Definicja roli

• Wbudowane role
• Role niestandardowe

Scope

• Grupy hostów
• Grupy aplikacji
• Obszary robocze

Cmdlety programu PowerShell do przypisywania ról

Usługa Azure Virtual Desktop używa kontroli dostępu opartej na rolach (RBAC) platformy Azure podczas publikowania grup aplikacji dla użytkowników lub grup użytkowników. Rola Użytkownika wirtualizacji pulpitu jest przypisywana do użytkownika lub grupy użytkowników, a zakresem jest grupa aplikacji. Ta rola zapewnia użytkownikowi specjalny dostęp do danych w grupie aplikacji.

Uruchom następujące polecenie cmdlet, aby dodać użytkowników firmy Microsoft Entra do grupy aplikacji:

New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

Uruchom następujące polecenie cmdlet, aby dodać grupę użytkowników firmy Microsoft Entra do grupy aplikacji:

New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'