Share via

Acesso delegado na Área de Trabalho Virtual do Azure (clássico)

  • Artigo

Importante

Este conteúdo aplica-se ao Ambiente de Trabalho Virtual do Azure (clássico), que não suporta objetos do Azure Resource Manager do Ambiente de Trabalho Virtual do Azure. Se você estiver tentando gerenciar objetos da Área de Trabalho Virtual do Azure Resource Manager, consulte este artigo.

A Área de Trabalho Virtual do Azure tem um modelo de acesso delegado que permite definir a quantidade de acesso que um determinado usuário pode ter, atribuindo-lhe uma função. Uma atribuição de função tem três componentes: entidade de segurança, definição de função e escopo. O modelo de acesso delegado da Área de Trabalho Virtual do Azure é baseado no modelo RBAC do Azure. Para saber mais sobre atribuições de função específicas e seus componentes, consulte a visão geral do controle de acesso baseado em função do Azure.

O acesso delegado da Área de Trabalho Virtual do Azure dá suporte aos seguintes valores para cada elemento da atribuição de função:

  • Entidade de segurança
    • Utilizadores
    • Principais de serviço
  • Definição de funções
    • Funções incorporadas
  • Âmbito de aplicação
    • Grupos de inquilinos
    • Inquilinos
    • Grupos de anfitriões
    • Grupos de aplicações

Funções incorporadas

O acesso delegado na Área de Trabalho Virtual do Azure tem várias definições de função internas que você pode atribuir a usuários e entidades de serviço.

  • Um proprietário de RDS pode gerenciar tudo, incluindo o acesso a recursos.
  • Um Colaborador RDS pode gerenciar tudo, mas não pode acessar recursos.
  • Um leitor RDS pode visualizar tudo, mas não pode fazer alterações.
  • Um operador RDS pode visualizar atividades de diagnóstico.

Cmdlets do PowerShell para atribuições de função

Você pode executar os seguintes cmdlets para criar, exibir e remover atribuições de função:

  • Get-RdsRoleAssignment exibe uma lista de atribuições de função.
  • New-RdsRoleAssignment cria uma nova atribuição de função.
  • Remove-RdsRoleAssignment exclui atribuições de função.

Parâmetros aceites

Você pode modificar os três cmdlets básicos com os seguintes parâmetros:

  • AadTenantId: especifica a ID do locatário do Microsoft Entra da qual a entidade de serviço é membro.
  • AppGroupName: nome do grupo de aplicativos Área de Trabalho Remota.
  • Diagnóstico: indica o escopo do diagnóstico. (Deve ser emparelhado com o Parâmetros de infraestrutura ou locatário .)
  • HostPoolName: nome do pool de hosts da Área de Trabalho Remota.
  • Infraestrutura: indica o âmbito da infraestrutura.
  • RoleDefinitionName: nome da função de controle de acesso baseada em função dos Serviços de Área de Trabalho Remota atribuída ao usuário, grupo ou aplicativo. (Por exemplo, Proprietário dos Serviços de Área de Trabalho Remota, Leitor de Serviços de Área de Trabalho Remota e assim por diante.)
  • ServerPrincipleName: nome do aplicativo Microsoft Entra.
  • SignInName: o endereço de e-mail ou o nome principal do usuário.
  • TenantName: nome do locatário da Área de Trabalho Remota.

Próximos passos

Para obter uma lista mais completa dos cmdlets do PowerShell que cada função pode usar, consulte a referência do PowerShell.

Para obter diretrizes sobre como configurar um ambiente de Área de Trabalho Virtual do Azure, consulte Ambiente de Área de Trabalho Virtual do Azure.