Azure Virtual Desktop 用に Azure ロールとロールベースのアクセス制御 (RBAC) を計画して実装する
Azure Virtual Desktop には委任されたアクセス モデルが用意され、これにより特定のユーザーにロールを割り当てることで、それらのユーザーが持つことのできるアクセス数を定義できます。
ロールの割り当てには、セキュリティ プリンシパル、ロールの定義、スコープの 3 つのコンポーネントがあります。
Azure Virtual Desktop の委任アクセス モデルは、Azure のロールベースのアクセス制御 (RBAC) モデルに基づいています。
Azure Virtual Desktop の委任されたアクセスでは、ロール割り当ての要素ごとに次の値がサポートされています。
セキュリティ プリンシパル
- ユーザー
- ユーザー グループ
- サービス プリンシパル
ロールの定義
- 組み込みのロール
- カスタム ロール
スコープ
- ホスト プール
- アプリ グループ
- Workspaces
ロール割り当てを目的とした PowerShell のコマンドレット
Azure Virtual Desktop では、ユーザーまたはユーザー グループにアプリ グループを発行するときに、Azure ロールベースのアクセス制御 (RBAC) が使用されます。 デスクトップ仮想化ユーザー ロールがユーザーまたはユーザー グループに割り当てられます。そのスコープはアプリ グループになります。 このロールは、アプリ グループに対する特別なデータ アクセスをユーザーに付与します。
次のコマンドレットを実行して、Microsoft Entra ユーザーをアプリ グループに追加します。
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
次のコマンドレットを実行して、Microsoft Entra ユーザー グループをアプリ グループに追加します。
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'