Gedelegeerde toegang in Azure Virtual Desktop (klassiek)

  • Artikel

Belangrijk

Deze inhoud is van toepassing op Azure Virtual Desktop (klassiek), die geen ondersteuning biedt voor Azure Resource Manager Azure Virtual Desktop-objecten. Als u Azure Resource Manager Azure Virtual Desktop-objecten wilt beheren, raadpleegt u dit artikel.

Azure Virtual Desktop heeft een gedelegeerd toegangsmodel waarmee u de hoeveelheid toegang kunt definiƫren die een bepaalde gebruiker mag hebben door ze een rol toe te wijzen. Een roltoewijzing heeft drie onderdelen: beveiligingsprincipaal, roldefinitie en bereik. Het gedelegeerde toegangsmodel van Azure Virtual Desktop is gebaseerd op het Azure RBAC-model. Zie het overzicht van op rollen gebaseerd toegangsbeheer van Azure voor meer informatie over specifieke roltoewijzingen en hun onderdelen.

Gedelegeerde toegang van Azure Virtual Desktop ondersteunt de volgende waarden voor elk element van de roltoewijzing:

  • Beveiligingsprincipaal
    • Gebruikers
    • Service-principals
  • Roldefinitie
    • Ingebouwde rollen
  • Scope
    • Tenantgroepen
    • Tenants
    • Hostgroepen
    • Toepassingsgroepen

Ingebouwde rollen

Gedelegeerde toegang in Azure Virtual Desktop heeft verschillende ingebouwde roldefinities die u kunt toewijzen aan gebruikers en service-principals.

  • Een RDS-eigenaar kan alles beheren, inclusief toegang tot resources.
  • Een RDS-inzender kan alles beheren, maar heeft geen toegang tot resources.
  • Een RDS-lezer kan alles bekijken, maar geen wijzigingen aanbrengen.
  • Een RDS-operator kan diagnostische activiteiten bekijken.

PowerShell-cmdlets voor roltoewijzingen

U kunt de volgende cmdlets uitvoeren om roltoewijzingen te maken, weer te geven en te verwijderen:

  • Get-RdsRoleAssignment geeft een lijst met roltoewijzingen weer.
  • New-RdsRoleAssignment maakt een nieuwe roltoewijzing.
  • Met Remove-RdsRoleAssignment worden roltoewijzingen verwijderd.

Geaccepteerde parameters

U kunt de drie basis-cmdlets wijzigen met de volgende parameters:

  • AadTenantId: hiermee geeft u de tenant-id van Microsoft Entra op waaruit de service-principal lid is.
  • AppGroupName: naam van de toepassingsgroep Extern bureaublad.
  • Diagnostische gegevens: geeft het diagnostische bereik aan. (Moet worden gekoppeld aan de Infrastructuur - of tenantparameters .)
  • HostPoolName: naam van de extern bureaublad-hostgroep.
  • Infrastructuur: geeft het infrastructuurbereik aan.
  • RoleDefinitionName: naam van de op rollen gebaseerde toegangsbeheerrol Extern bureaublad-services die is toegewezen aan de gebruiker, groep of app. (Bijvoorbeeld de eigenaar van extern bureaublad-services, de lezer van extern bureaublad-services, enzovoort.)
  • ServerPrincipleName: naam van de Microsoft Entra-toepassing.
  • SignInName: het e-mailadres of de principal-naam van de gebruiker.
  • TenantName: naam van de Extern bureaublad-tenant.

Volgende stappen

Zie de PowerShell-verwijzing voor een volledigere lijst met PowerShell-cmdlets die elke rol kan gebruiken.

Zie de Azure Virtual Desktop-omgeving voor richtlijnen voor het instellen van een Azure Virtual Desktop-omgeving.