Gedelegeerde toegang in Azure Virtual Desktop
Belangrijk
Deze inhoud is van toepassing op Azure Virtual Desktop met Azure Resource Manager Azure Virtual Desktop-objecten. Als u Azure Virtual Desktop (klassiek) zonder Azure Resource Manager-objecten gebruikt, raadpleegt u dit artikel.
Azure Virtual Desktop heeft een gedelegeerd toegangsmodel waarmee u de hoeveelheid toegang kunt definiƫren die een bepaalde gebruiker mag hebben door ze een rol toe te wijzen. Een roltoewijzing heeft drie onderdelen: beveiligingsprincipaal, roldefinitie en bereik. Het gedelegeerde toegangsmodel van Azure Virtual Desktop is gebaseerd op het Azure RBAC-model. Zie het overzicht van op rollen gebaseerd toegangsbeheer van Azure voor meer informatie over specifieke roltoewijzingen en hun onderdelen.
Gedelegeerde toegang van Azure Virtual Desktop ondersteunt de volgende waarden voor elk element van de roltoewijzing:
- Beveiligingsprincipaal
- Gebruikers
- Gebruikersgroepen
- Service-principals
- Roldefinitie
- Ingebouwde rollen
- Aangepaste rollen
- Scope
- Hostgroepen
- Toepassingsgroepen
- Workspaces
PowerShell-cmdlets voor roltoewijzingen
Voordat u begint, moet u de instructies volgen in De PowerShell-module instellen om de Azure Virtual Desktop PowerShell-module in te stellen als u dat nog niet hebt gedaan.
Azure Virtual Desktop maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) tijdens het publiceren van toepassingsgroepen voor gebruikers of gebruikersgroepen. De rol Bureaubladvirtualisatiegebruiker wordt toegewezen aan de gebruiker of gebruikersgroep en het bereik is de toepassingsgroep. Deze rol geeft de gebruiker speciale toegang tot gegevens in de toepassingsgroep.
Voer de volgende cmdlet uit om Microsoft Entra-gebruikers toe te voegen aan een toepassingsgroep:
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Voer de volgende cmdlet uit om de Microsoft Entra-gebruikersgroep toe te voegen aan een toepassingsgroep:
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Volgende stappen
Zie de PowerShell-verwijzing voor een volledigere lijst met PowerShell-cmdlets die elke rol kan gebruiken.
Zie ingebouwde Azure-rollen voor een volledige lijst met rollen die worden ondersteund in Azure RBAC.
Zie de Azure Virtual Desktop-omgeving voor richtlijnen voor het instellen van een Azure Virtual Desktop-omgeving.