Accès délégué dans Azure Virtual Desktop

  • Article

Important

Ce contenu s’applique à Azure Virtual Desktop avec des objets Azure Virtual Desktop pour Azure Resource Manager. Si vous utilisez Azure Virtual Desktop (classique) sans objets Azure Resource Manager, consultez cet article.

Azure Virtual Desktop dispose d’un modèle d’accès délégué qui permet de définir les droits d’accès d’un utilisateur particulier en lui attribuant un rôle. Une attribution de rôle se compose de trois éléments : un principal de sécurité, une définition de rôle et une étendue. Le modèle d’accès délégué d’Azure Virtual Desktop est basé sur le modèle RBAC d’Azure. Pour en savoir plus sur les attributions de rôle spécifique et leurs composants, consultez la vue d’ensemble du contrôle d'accès en fonction du rôle Azure.

L’accès délégué d’Azure Virtual Desktop prend en charge les valeurs suivantes pour chaque élément de l’attribution de rôle :

  • Principal de sécurité
    • Utilisateurs
    • Groupes d’utilisateurs
    • Principaux de service
  • Définition de rôle
    • Rôles intégrés
    • Rôles personnalisés
  • Étendue
    • Pools hôtes
    • Groupes d’applications
    • Workspaces

Cmdlets Azure PowerShell pour les attributions de rôles

Avant de commencer, veillez à suivre les instructions figurant dans Configuration du module PowerShell pour configurer le module PowerShell Azure Virtual Desktop, si ce n’est pas déjà fait.

Azure Virtual Desktop utilise le contrôle d’accès en fonction du rôle Azure (RBAC Azure) pendant la publication de groupes d’applications auprès d’utilisateurs ou de groupes d’utilisateurs. Le rôle d’utilisateur de virtualisation de bureau est attribué à l’utilisateur ou au groupe d’utilisateurs et la portée est le groupe d’applications. Ce rôle donne à l’utilisateur un accès spécial aux données sur le groupe d’applications.

Exécutez la cmdlet suivante pour ajouter des utilisateurs Microsoft Entra à un groupe d’applications :

New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

Exécutez la cmdlet suivante pour ajouter un groupe d’utilisateurs Microsoft Entra à un groupe d’applications :

New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

Étapes suivantes

Pour obtenir une liste plus complète des cmdlets PowerShell que chaque rôle peut utiliser, consultez les Informations de référence PowerShell.

Pour obtenir la liste complète des rôles pris en charge dans RBAC Azure, consultez Rôles intégrés Azure.

Pour obtenir des instructions sur la configuration d’un environnement Azure Virtual Desktop, consultez Environnement Azure Virtual Desktop.