Acesso delegado na Área de Trabalho Virtual do Azure

Importante

Este conteúdo aplica-se ao Ambiente de Trabalho Virtual do Azure com objetos do Ambiente de Trabalho Virtual do Azure Resource Manager. Se você estiver usando a Área de Trabalho Virtual do Azure (clássica) sem objetos do Azure Resource Manager, consulte este artigo.

A Área de Trabalho Virtual do Azure tem um modelo de acesso delegado que permite definir a quantidade de acesso que um determinado usuário pode ter, atribuindo-lhe uma função. Uma atribuição de função tem três componentes: entidade de segurança, definição de função e escopo. O modelo de acesso delegado da Área de Trabalho Virtual do Azure é baseado no modelo RBAC do Azure. Para saber mais sobre atribuições de função específicas e seus componentes, consulte a visão geral do controle de acesso baseado em função do Azure.

O acesso delegado da Área de Trabalho Virtual do Azure dá suporte aos seguintes valores para cada elemento da atribuição de função:

  • Entidade de segurança
    • Utilizadores
    • Grupos de utilizadores
    • Principais de serviço
  • Definição de funções
    • Funções incorporadas
    • Funções personalizadas
  • Âmbito de aplicação
    • Grupos de anfitriões
    • Grupos de aplicações
    • Áreas de Trabalho

Cmdlets do PowerShell para atribuições de função

Antes de começar, siga as instruções em Configurar o módulo PowerShell para configurar o módulo PowerShell da Área de Trabalho Virtual do Azure, caso ainda não o tenha feito.

A Área de Trabalho Virtual do Azure usa o controle de acesso baseado em função do Azure (Azure RBAC) ao publicar grupos de aplicativos para usuários ou grupos de usuários. A função Usuário da Virtualização de Área de Trabalho é atribuída ao usuário ou grupo de usuários e o escopo é o grupo de aplicativos. Essa função dá ao usuário acesso especial a dados no grupo de aplicativos.

Execute o seguinte cmdlet para adicionar usuários do Microsoft Entra a um grupo de aplicativos:

New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

Execute o seguinte cmdlet para adicionar o grupo de usuários do Microsoft Entra a um grupo de aplicativos:

New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'

Próximos passos

Para obter uma lista mais completa dos cmdlets do PowerShell que cada função pode usar, consulte a referência do PowerShell.

Para obter uma lista completa das funções suportadas no RBAC do Azure, consulte Funções internas do Azure.

Para obter diretrizes sobre como configurar um ambiente de Área de Trabalho Virtual do Azure, consulte Ambiente de Área de Trabalho Virtual do Azure.