Acceso delegado en Azure Virtual Desktop
Importante
Este contenido se aplica a Azure Virtual Desktop con objetos de Azure Resource Manager. Si usa Azure Virtual Desktop (clásico) sin objetos de Azure Resource Manager, consulte este artículo.
Azure Virtual Desktop presenta un modelo de acceso delegado que permite definir la cantidad de acceso que puede tener un usuario determinado mediante la asignación de un rol. Una asignación de roles consta de tres componentes: entidad de seguridad, definición de rol y ámbito. El modelo de acceso delegado de Azure Virtual Desktop se basa en el modelo de Azure RBAC. Para más información sobre asignaciones de roles específicas y sus componentes, consulte la información general sobre el control de acceso basado en roles de Azure.
El acceso delegado de Azure Virtual Desktop admite los siguientes valores para cada elemento de la asignación de roles:
- Entidad de seguridad
- Usuarios
- Grupos de usuarios
- Entidades de servicio
- Definición de roles
- Roles integrados
- Roles personalizados
- Ámbito
- Grupos de host
- Grupos de aplicaciones
- Áreas de trabajo
Cmdlets de PowerShell para asignaciones de roles
Antes de empezar, asegúrese de seguir las instrucciones que se indican en Configuración del módulo de PowerShell para configurar el módulo de PowerShell de Azure Virtual Desktop, en caso de que no lo haya hecho aún.
Azure Virtual Desktop usa el control de acceso basado en rol de Azure (Azure RBAC) al publicar grupos de aplicaciones para usuarios o grupos de usuarios. El rol Usuario de la virtualización del escritorio se asigna al usuario o grupo de usuarios, y el ámbito es el grupo de aplicaciones. Este rol concede al usuario un acceso especial a los datos en el grupo de aplicaciones.
Ejecute el siguiente cmdlet para agregar usuarios de Microsoft Entra a un grupo de aplicaciones:
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Ejecute el siguiente cmdlet para agregar un grupo de usuarios de Microsoft Entra a un grupo de aplicaciones:
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Pasos siguientes
Para una lista más completa de cmdlets de PowerShell que puede usar cada rol, consulte la referencia de PowerShell.
Para obtener una lista completa de los roles que se admiten en Azure RBAC, consulte Roles integrados de Azure.
Para tener una guía para configurar un entorno de Azure Virtual Desktop, consulte Entorno de Azure Virtual Desktop.