Pianificare e implementare i ruoli di Azure e il controllo degli accessi in base al ruolo (RBAC) per Desktop virtuale Azure
In Desktop virtuale Azure è integrato un modello di accesso delegato che consente di definire la quantità di accesso da concedere a un utente assegnando un ruolo all’utente in questione.
Un'assegnazione di ruolo è costituita da tre componenti: entità di sicurezza, definizione del ruolo e ambito.
Il modello di accesso delegato di Desktop virtuale Azure si basa sul modello di controllo degli accessi in base al ruolo di Azure.
L'accesso delegato di Desktop virtuale Azure supporta i valori che seguono per ogni elemento dell'assegnazione di ruolo:
Entità di sicurezza principale
- Utenti
- Gruppi utenti
- Entità servizio
Definizione del ruolo
- Ruoli predefiniti
- Ruoli personalizzati
Scope
- Pool di host
- Gruppi di app
- Aree di lavoro
Cmdlet di PowerShell per le assegnazioni di ruolo
Desktop virtuale Azure usa il controllo degli accessi in base al ruolo di Azure durante la pubblicazione di gruppi di app per utenti o gruppi di utenti. Il ruolo Utente di virtualizzazione Desktop viene assegnato all'utente o al gruppo di utenti e l'ambito è il gruppo di app. Questo ruolo consente all'utente di accedere ai dati speciali inclusi nel gruppo di app.
Eseguire il cmdlet seguente per aggiungere utenti di Microsoft Entra a un gruppo di app:
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Eseguire il cmdlet seguente per aggiungere il gruppo di utenti Microsoft Entra a un gruppo di app:
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'