Accesso delegato in Desktop virtuale Azure
Importante
Questo contenuto si applica a Desktop virtuale Azure con oggetti Desktop virtuale Azure Resource Manager. Se si usa Desktop virtuale Azure (versione classica) senza oggetti di Azure Resource Manager, vedere questo articolo.
In Desktop virtuale Azure è integrato un modello di accesso delegato che consente di definire la quantità di accesso da concedere a un utente assegnando un ruolo all’utente in questione. Un'assegnazione di ruolo è costituita da tre componenti: entità di sicurezza, definizione del ruolo e ambito. Il modello di accesso delegato di Desktop virtuale Azure si basa sul modello di controllo degli accessi in base al ruolo di Azure. Per altre informazioni sulle assegnazioni di ruolo specifiche e sui relativi componenti, vedere Panoramica del controllo degli accessi in base al ruolo di Azure.
L'accesso delegato di Desktop virtuale Azure supporta i valori che seguono per ogni elemento dell'assegnazione di ruolo:
- Entità di sicurezza
- Utenti
- Gruppi utenti
- Entità servizio
- Definizione del ruolo
- Ruoli predefiniti
- Ruoli personalizzati
- Ambito
- Pool di host
- Gruppi di applicazioni
- Aree di lavoro
Prima di iniziare, assicurarsi di seguire le istruzioni riportate in Configurare il modulo PowerShell di PowerShell per configurare il modulo PowerShell di Desktop virtuale Azure, se non è già stato fatto.
Desktop virtuale Azure usa il controllo degli accessi in base al ruolo di Azure durante la pubblicazione di gruppi di applicazioni in utenti o gruppi di utenti. Il ruolo Utente di virtualizzazione desktop viene assegnato all'utente o al gruppo di utenti e l'ambito è il gruppo di applicazioni. Questo ruolo consente all'utente di accedere ai dati speciali nel gruppo di applicazioni.
Eseguire il cmdlet seguente per aggiungere gli utenti di Microsoft Entra a un gruppo di applicazioni:
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Eseguire il cmdlet seguente per aggiungere il gruppo di utenti Microsoft Entra a un gruppo di applicazioni:
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
Per un elenco più completo dei cmdlet di PowerShell che ogni ruolo può usare, vedere le informazioni di riferimento su PowerShell.
Per un elenco completo dei ruoli supportati nel controllo degli accessi in base al ruolo di Azure, vedere Ruoli predefiniti di Azure.
Per indicazioni su come configurare un ambiente Desktop virtuale Azure, vedere Ambiente Desktop virtuale Azure.