Delegovaný přístup ve službě Azure Virtual Desktop
Důležité
Tento obsah se vztahuje na Azure Virtual Desktop s objekty Azure Resource Manageru pro Azure Virtual Desktop. Pokud používáte Azure Virtual Desktop (classic) bez objektů Azure Resource Manageru, přečtěte si tento článek.
Azure Virtual Desktop má delegovaný model přístupu, který umožňuje definovat, kolik přístupu může konkrétní uživatel mít tím, že mu přiřadíte roli. Přiřazení role má tři komponenty: objekt zabezpečení, definici role a obor. Model delegovaného přístupu Azure Virtual Desktopu je založený na modelu Azure RBAC. Další informace o konkrétních přiřazeních rolí a jejich komponentách najdete v přehledu řízení přístupu na základě role v Azure.
Delegovaný přístup Azure Virtual Desktopu podporuje pro každý prvek přiřazení role následující hodnoty:
- Objekt zabezpečení
- Uživatelé
- Skupiny uživatelů
- Instanční objekty
- Definice role
- Předdefinované role
- Vlastní role
- Rozsah
- Fondy hostitelů
- Skupiny aplikací
- Pracovní prostory
Rutiny PowerShellu pro přiřazení rolí
Než začnete, nezapomeňte postupovat podle pokynů v tématu Nastavení modulu PowerShell pro nastavení modulu PowerShell pro Azure Virtual Desktop, pokud jste to ještě neudělali.
Azure Virtual Desktop používá při publikování skupin aplikací uživatelům nebo skupinám uživatelů řízení přístupu na základě role (Azure RBAC). Role uživatele virtualizace plochy je přiřazena uživateli nebo skupině uživatelů a obor je skupina aplikací. Tato role poskytuje uživateli zvláštní přístup k datům ve skupině aplikací.
Spuštěním následující rutiny přidejte uživatele Microsoft Entra do skupiny aplikací:
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Spuštěním následující rutiny přidejte skupinu uživatelů Microsoft Entra do skupiny aplikací:
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Další kroky
Úplný seznam rutin PowerShellu, které můžou jednotlivé role používat, najdete v referenčních informacích k PowerShellu.
Úplný seznam rolí podporovaných v Azure RBAC najdete v tématu Předdefinované role Azure.
Pokyny k nastavení prostředí Služby Azure Virtual Desktop najdete v tématu Prostředí Služby Azure Virtual Desktop.