Share via

Acceso delegado en Azure Virtual Desktop (clásico)

  • Artículo

Importante

Este contenido se aplica a Azure Virtual Desktop (clásico), que no admite objetos de Azure Resource Manager. Si está intentando administrar objetos de Azure Virtual Desktop para Azure Resource Manager, consulte este artículo.

Azure Virtual Desktop presenta un modelo de acceso delegado que permite definir la cantidad de acceso que puede tener un usuario determinado mediante la asignación de un rol. Una asignación de roles consta de tres componentes: entidad de seguridad, definición de rol y ámbito. El modelo de acceso delegado de Azure Virtual Desktop se basa en el modelo de Azure RBAC. Para más información sobre asignaciones de roles específicas y sus componentes, consulte la información general sobre el control de acceso basado en roles de Azure.

El acceso delegado de Azure Virtual Desktop admite los siguientes valores para cada elemento de la asignación de roles:

  • Entidad de seguridad
    • Usuarios
    • Entidades de servicio
  • Definición de roles
    • Roles integrados
  • Ámbito
    • Grupos de inquilinos
    • Inquilinos
    • Grupos de host
    • Grupos de aplicaciones

Roles integrados

El acceso delegado en Azure Virtual Desktop tiene varias definiciones de roles integradas que se pueden asignar a los usuarios y a las entidades de servicio.

  • Un propietario de RDS puede administrarlo todo, incluido el acceso a los recursos.
  • Un colaborador de RDS puede administrar todo, pero no puede acceder a los recursos.
  • Un lector de RDS puede verlo todo, pero no puede realizar cambios.
  • Un operador de RDS puede ver las actividades de diagnóstico.

Cmdlets de PowerShell para asignaciones de roles

Puede ejecutar los siguientes cmdlets para crear, ver y eliminar asignaciones de roles:

  • Get-RdsRoleAssignment muestra una lista de asignaciones de roles.
  • New-RdsRoleAssignment crea una asignación de roles.
  • Remove-RdsRoleAssignment elimina las asignaciones de roles.

Parámetros aceptados

Puede modificar los tres cmdlets básicos con los siguientes parámetros:

  • AadTenantId: especifica el identificador del inquilino de Microsoft Entra del que la entidad de servicio es miembro.
  • AppGroupName: nombre del grupo de aplicaciones del escritorio remoto.
  • Diagnostics: indica el ámbito de diagnóstico. (Debe estar emparejado con los parámetros Infrastructure o Tenant).
  • HostPoolName: nombre del grupo de host de Escritorio remoto.
  • Infrastructure: indica el ámbito de la infraestructura.
  • RoleDefinitionName: nombre del rol de control de acceso basado en roles de los Servicios de Escritorio remoto asignado al usuario, el grupo o la aplicación. (Por ejemplo, propietario de los Servicios de Escritorio remoto, lector de los Servicios de Escritorio remoto, etc.)
  • ServerPrincipleName: nombre de la aplicación de Microsoft Entra.
  • SignInName: dirección de correo electrónico del usuario o nombre principal de usuario.
  • TenantName: nombre del inquilino de Escritorio remoto.

Pasos siguientes

Para una lista más completa de cmdlets de PowerShell que puede usar cada rol, consulte la referencia de PowerShell.

Para tener una guía para configurar un entorno de Azure Virtual Desktop, consulte Entorno de Azure Virtual Desktop.