Планирование и реализация ролей Azure и контроля доступа на основе ролей (RBAC) для службы "Виртуальный рабочий стол Azure"
Виртуальный рабочий стол Azure предоставляет модель делегированного доступа, которая позволяет определить объем доступа, который может иметь конкретный пользователь после назначения ему роли.
Назначение ролей состоит из трех компонентов: субъект безопасности, определение роли и область действия.
Модель делегированного доступа в рамках Виртуального рабочего стола Azure основана на модели управления доступом на основе ролей (RBAC) Azure.
Делегированный доступ Виртуального рабочего стола Azure поддерживает следующие значения по каждому элементу назначения роли:
Субъект безопасности
- Пользователи
- Группы пользователей
- Субъекты-службы
Определение роли
- Встроенные роли
- Пользовательские роли
Область применения
- Пулы узлов
- Группы приложений
- Рабочие области
Командлеты PowerShell для управления ролями
Виртуальный рабочий стол Azure использует управление доступом на основе ролей (RBAC) Azure при публикации групп приложений для пользователей или групп пользователей. Пользователю или группе пользователей назначается роль пользователя виртуального рабочего стола, а областью действия становится группа приложений. Эта роль предоставляет пользователю специальные права доступа к данным в этой группе приложений.
Выполните следующий командлет, чтобы добавить пользователей Microsoft Entra в группу приложений:
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Выполните следующий командлет, чтобы добавить группу пользователей Microsoft Entra в группу приложений:
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'