Accesso delegato in Desktop virtuale Azure (versione classica)
Importante
Questo contenuto si applica a Desktop virtuale Azure (versione classica), che non supporta gli oggetti Desktop virtuale Azure Resource Manager. Se si sta provando a gestire gli oggetti di Desktop virtuale Azure Resource Manager, vedere questo articolo.
In Desktop virtuale Azure è integrato un modello di accesso delegato che consente di definire la quantità di accesso da concedere a un utente assegnando un ruolo all’utente in questione. Un'assegnazione di ruolo è costituita da tre componenti: entità di sicurezza, definizione del ruolo e ambito. Il modello di accesso delegato di Desktop virtuale Azure si basa sul modello di controllo degli accessi in base al ruolo di Azure. Per altre informazioni sulle assegnazioni di ruolo specifiche e sui relativi componenti, vedere Panoramica del controllo degli accessi in base al ruolo di Azure.
L'accesso delegato di Desktop virtuale Azure supporta i valori che seguono per ogni elemento dell'assegnazione di ruolo:
- Entità di sicurezza
- Utenti
- Entità servizio
- Definizione del ruolo
- Ruoli predefiniti
- Ambito
- Gruppi di tenant
- Tenant
- Pool di host
- Gruppi di applicazioni
Ruoli predefiniti
L'accesso delegato in Desktop virtuale Azure include diverse definizioni di ruolo predefinite che è possibile assegnare agli utenti e alle entità servizio.
- Un proprietario di Servizi Desktop remoto può gestire tutti gli elementi, incluso l'accesso alle risorse.
- Un Collaboratore Servizi Desktop remoto può gestire tutti gli elementi, ma non può accedere alle risorse.
- Un lettore Di Servizi Desktop remoto può visualizzare tutti gli elementi, ma non può apportare modifiche.
- Un operatore RDS può visualizzare le attività di diagnostica.
Cmdlet di PowerShell per le assegnazioni di ruolo
È possibile eseguire i cmdlet seguenti per creare, visualizzare e rimuovere assegnazioni di ruolo:
- Get-RdsRoleAssignment visualizza un elenco di assegnazioni di ruolo.
- New-RdsRoleAssignment crea una nuova assegnazione di ruolo.
- Remove-RdsRoleAssignment elimina le assegnazioni di ruolo.
Parametri accettati
È possibile modificare i tre cmdlet di base con i parametri seguenti:
- AadTenantId: specifica l'ID tenant di Microsoft Entra da cui l'entità servizio è membro.
- AppGroupName: nome del gruppo di applicazioni Desktop remoto.
- Diagnostica: indica l'ambito di diagnostica. (Deve essere associato a uno dei due Parametri dell'infrastruttura o del tenant .
- HostPoolName: nome del pool di host Desktop remoto.
- Infrastruttura: indica l'ambito dell'infrastruttura.
- RoleDefinitionName: nome del ruolo di controllo degli accessi in base al ruolo di Servizi Desktop remoto assegnato all'utente, al gruppo o all'app. Ad esempio, Proprietario di Servizi Desktop remoto, Lettore Servizi Desktop remoto e così via.
- ServerPrincipleName: nome dell'applicazione Microsoft Entra.
- SignInName: indirizzo di posta elettronica dell'utente o nome dell'entità utente.
- TenantName: nome del tenant di Desktop remoto.
Passaggi successivi
Per un elenco più completo dei cmdlet di PowerShell che ogni ruolo può usare, vedere le informazioni di riferimento su PowerShell.
Per indicazioni su come configurare un ambiente Desktop virtuale Azure, vedere Ambiente Desktop virtuale Azure.