你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 虚拟桌面中的委托访问

重要

本教程的内容适用于包含 Azure 资源管理器 Azure 虚拟桌面对象的 Azure 虚拟桌面。 如果你使用的是不包含 Azure 资源管理器对象的 Azure 虚拟桌面(经典),请参阅本文

Azure 虚拟桌面有一个委托访问模型,可通过为特定用户分配角色来定义允许该用户拥有的访问量。 角色分配包含 3 个组成部分:安全主体、角色定义和范围。 Azure 虚拟桌面委托访问模型基于 Azure RBAC 模型。 若要详细了解特定的角色分配及其组成部分,请查看 Azure 基于角色的访问控制概述

对于角色分配的各个元素,Azure 虚拟桌面委托访问支持以下值:

  • 安全主体
    • 用户
    • 用户组
    • 服务主体
  • 角色定义
    • 内置角色
    • 自定义角色
  • 作用域
    • 主机池
    • 应用程序组
    • 工作区

用于角色分配的 PowerShell cmdlet

在开始之前,请确保按照设置 PowerShell 模块中的说明设置 Azure 虚拟桌面 PowerShell 模块(如果尚未设置)。

在将应用程序组发布给用户或用户组时,Azure 虚拟桌面会使用 Azure 基于角色的访问控制 (Azure RBAC)。 会向用户或用户组分配“桌面虚拟化用户”角色,而范围是应用程序组。 此角色向用户提供对应用程序组的特殊数据访问权限。

若要将 Microsoft Entra 用户添加到应用程序组,请运行以下 cmdlet:

New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

若要将 Microsoft Entra 用户组添加到应用程序组,请运行以下 cmdlet:

New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

后续步骤

有关每个角色可使用的 PowerShell cmdlet 的更完整的列表,请查看 PowerShell 参考

有关 Azure RBAC 中支持的角色的完整列表,请查看 azure 内置角色

有关如何设置 Azure 虚拟桌面环境的指南,请参阅 Azure 虚拟桌面环境