Planificarea și implementarea rolurilor Azure și a controlului accesului bazat pe roluri (RBAC) pentru Azure Virtual Desktop

Finalizat

Azure Virtual Desktop are un model de acces delegat care vă permite să definiți cantitatea de acces pe care un anumit utilizator are voie să o aibă, atribuindu-i un rol.

O atribuire de rol are trei componente: principalul de securitate, definirea rolului și domeniul de aplicare.

Modelul de acces delegat Azure Virtual Desktop se bazează pe modelul Azure de control al accesului bazat pe rol (RBAC).

Accesul delegat Azure Virtual Desktop acceptă următoarele valori pentru fiecare element al atribuirii rolului:

Principiul de securitate

  • Utilizatori
  • Grupuri de utilizatori
  • Principii de serviciu

Definirea rolului

  • Roluri încorporate
  • Roluri personalizate

Aplicare

  • Grupuri de gazde
  • Grupuri de aplicații
  • Spații de lucru

Cmdleturi PowerShell pentru atribuiri de roluri

Azure Virtual Desktop utilizează controlul accesului bazat pe rol Azure în timp ce publică grupuri de aplicații pentru utilizatori sau grupuri de utilizatori. Rolul de utilizator Desktop Virtualization este atribuit utilizatorului sau grupului de utilizatori, iar domeniul este grupul de aplicații. Acest rol oferă utilizatorului acces special la date în grupul de aplicații.

Rulați următorul cmdlet pentru a adăuga utilizatori Microsoft Entra la un grup de aplicații:

New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

Rulați următorul cmdlet pentru a adăuga un grup de utilizatori Microsoft Entra la un grup de aplicații:

New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'