Delegierter Zugriff in Azure Virtual Desktop
Wichtig
Dieser Inhalt gilt für Azure Virtual Desktop mit Azure Virtual Desktop-Objekten für Azure Resource Manager. Wenn Sie Azure Virtual Desktop (klassisch) ohne Azure Resource Manager-Objekte verwenden, finden Sie weitere Informationen in diesem Artikel.
Azure Virtual Desktop verfügt über ein Modell mit delegiertem Zugriff, mit dem Sie für Benutzer eine bestimmte Zugriffsebene festlegen können, indem Sie ihnen eine Rolle zuweisen. Eine Rollenzuweisung besteht aus drei Komponenten: Sicherheitsprinzipal, Rollendefinition und Bereich. Das Modell für delegierten Zugriff von Azure Virtual Desktop basiert auf dem Azure RBAC-Modell. Weitere Informationen zu bestimmten Rollenzuweisungen und den zugehörigen Komponenten finden Sie unter Integrierte Rollen für die rollenbasierte Zugriffssteuerung in Azure.
Beim delegierten Zugriff von Azure Virtual Desktop werden für jedes Element der Rollenzuweisung die folgenden Werte unterstützt:
- Sicherheitsprinzipal
- Benutzer
- Benutzergruppen
- Dienstprinzipale
- Rollendefinition
- Integrierte Rollen
- Benutzerdefinierte Rollen
- `Scope`
- Hostpools
- Anwendungsgruppen
- Arbeitsbereiche
PowerShell-Cmdlets für Rollenzuweisungen
Bevor Sie beginnen, stellen Sie sicher, dass Sie die Anweisungen unter Einrichten des PowerShell-Moduls befolgt haben, um das Azure Virtual Desktop PowerShell-Modul einzurichten, falls dies noch nicht geschehen ist.
Azure Virtual Desktop verwendet die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) beim Veröffentlichen von Anwendungsgruppen für Benutzer*innen oder Benutzergruppen. Die Rolle „Desktopvirtualisierungsbenutzer“ wird den Benutzer*innen oder Benutzergruppen zugewiesen, und der Bereich ist die Anwendungsgruppe. Diese Rolle gewährt Benutzer*innen speziellen Datenzugriff auf die Anwendungsgruppe.
Führen Sie das folgende Cmdlet aus, um einer Anwendungsgruppe Microsoft Entra-Benutzer*innen hinzuzufügen:
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Führen Sie das folgende Cmdlet aus, um einer Anwendungsgruppe eine Microsoft Entra-Benutzergruppe hinzuzufügen:
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Nächste Schritte
Eine vollständigere Liste mit PowerShell-Cmdlets, die von den einzelnen Rollen verwendet werden können, finden Sie in der PowerShell-Referenz.
Eine vollständige Liste der Rollen, die in Azure RBAC unterstützt werden, finden Sie unter Integrierten Azure-Rollen.
Eine Anleitung zum Einrichten einer Azure Virtual Desktop-Umgebung finden Sie unter Azure Virtual Desktop-Umgebung.