Делегированный доступ в Виртуальном рабочем столе Azure
Важно!
Это содержимое применимо к Виртуальному рабочему столу Azure с объектами Azure Resource Manager для Виртуального рабочего стола Azure. Если вы используете Виртуальный рабочий стол Azure (классический) без объектов Azure Resource Manager, ознакомьтесь с этой статьей.
Виртуальный рабочий стол Azure предоставляет модель делегированного доступа, которая позволяет определить объем доступа, который может иметь конкретный пользователь после назначения ему роли. Назначение ролей состоит из трех компонентов: субъект безопасности, определение роли и область действия. Модель делегированного доступа Виртуального рабочего стола Azure основывается на модели Azure RBAC. Дополнительные сведения о назначениях определенных ролей и их компонентах см. в статье Общие сведения об управлении доступом на основе ролей в Azure.
Делегированный доступ Виртуального рабочего стола Azure поддерживает следующие значения по каждому элементу назначения роли:
- Субъект безопасности
- Пользователи
- Группы пользователей
- Субъекты-службы
- Определение роли
- Встроенные роли
- Пользовательские роли
- Области
- Пулы узлов
- Группы приложений
- Рабочие области
Командлеты PowerShell для управления ролями
Прежде чем начать, убедитесь, что выполнены все инструкции из раздела Настройка модуля PowerShell. Необходимо настроить модуль PowerShell Виртуального рабочего стола Azure, если вы еще этого не сделали.
Виртуальный рабочий стол Azure использует управление доступом на основе ролей Azure (Azure RBAC) при публикации групп приложений пользователям или группам пользователей. Роль пользователя виртуализации рабочего стола назначается пользователю или группе пользователей, а область — группе приложений. Эта роль предоставляет пользователю специальный доступ к данным в группе приложений.
Выполните следующий командлет, чтобы добавить пользователей Microsoft Entra в группу приложений:
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Выполните следующий командлет, чтобы добавить группу пользователей Microsoft Entra в группу приложений:
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Следующие шаги
Более полный список командлетов PowerShell, которые может использовать та или иная роль, см. в Справочнике по PowerShell.
Полный список ролей, поддерживаемых в Azure RBAC, см. в статье Встроенные роли Azure.
Рекомендации по настройке среды виртуального рабочего стола Azure см . в статье "Виртуальный рабочий стол Azure".
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по