Planejar e implementar funções do Azure e RBAC (controle de acesso baseado em função) para Área de Trabalho Virtual do Azure
A Área de Trabalho Virtual do Azure tem um modelo de acesso delegado que permite definir quantos acessos um usuário específico pode ter atribuindo a ele uma função.
Uma atribuição de função tem três componentes: princípio de segurança, definição de função e escopo.
O modelo de acesso delegado da Área de Trabalho Virtual do Azure baseia-se no modelo RBAC (controle de acesso baseado em função) do Azure.
O acesso delegado da Área de Trabalho Virtual do Azure oferece suporte aos seguintes valores para cada elemento da atribuição de função:
Diretor de segurança
- Usuários
- Grupos de usuários
- Entidades de serviço
Definição da função
- Funções incorporadas
- Funções personalizadas
Escopo
- Pools de hosts
- Grupos de aplicativos
- Espaços de Trabalho
Cmdlets do PowerShell para atribuições de função
A Área de Trabalho Virtual do Azure usa o RBAC (controle de acesso baseado em função) do Azure ao publicar grupos de aplicativos para usuários ou grupos de usuários. A Função de Usuário de Virtualização de Área de Trabalho é atribuída ao usuário ou grupo de usuários e o escopo é um grupo de aplicativos. Essa função dá ao usuário acesso especial a dados no grupo de aplicativos.
Execute o seguinte cmdlet para adicionar usuários do Microsoft Entra a um grupo de aplicativos:
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Execute o seguinte cmdlet para adicionar o grupo de usuários do Microsoft Entra a um grupo de aplicativos:
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'