Azure 虚拟桌面（经典）中的委托访问

Azure 虚拟桌面有一个委托访问模型，可通过为特定用户分配角色来定义允许该用户拥有的访问量。 角色分配包含 3 个组成部分：安全主体、角色定义和范围。 Azure 虚拟桌面委托访问模型基于 Azure RBAC 模型。 若要详细了解特定的角色分配及其组成部分，请查看 Azure 基于角色的访问控制概述。

对于角色分配的各个元素，Azure 虚拟桌面委托访问支持以下值：

• 安全主体
  • 用户
  • 服务主体
• 角色定义
  • 内置角色
• 范围
  • 租户组
  • 租户
  • 主机池
  • 应用程序组

内置角色

Azure 虚拟桌面中的委托访问有多个内置角色定义，这些定义可分配到用户和服务主体。

• RDS 所有者可以管理所有内容，包括对资源的访问权限。
• RDS 参与者可以管理所有内容，但无法访问资源。
• RDS 读取者可以查看所有内容，但不能进行任何更改。
• RDS 操作员可以查看诊断活动。

用于角色分配的 PowerShell cmdlet

可以运行以下 cmdlet 来创建、查看和删除角色分配：

• Get-RdsRoleAssignment 显示角色分配列表。
• New-RdsRoleAssignment 创建新角色分配。
• Remove-RdsRoleAssignment 删除角色分配。

接受的参数

可以使用以下参数来修改三个基本的 cmdlet：

• AadTenantId：指定服务主体作为其成员的 Microsoft Entra 租户 ID。
• AppGroupName：远程桌面应用程序组的名称。
• Diagnostics：指示诊断范围。 （必须与“Infrastructure”或“Tenant”参数配对 。）
• HostPoolName：远程桌面主机池的名称。
• Infrastructure：指示基础结构范围。
• RoleDefinitionName：分配到用户、组或应用的远程桌面服务基于角色的访问控制角色的名称。 （例如，远程桌面服务所有者、远程桌面服务读取者，等等。）
• ServerPrincipleName：Microsoft Entra 应用程序的名称。
• SignInName：用户的电子邮件地址或用户主体名称。
• TenantName：远程桌面租户的名称。

后续步骤

有关每个角色可使用的 PowerShell cmdlet 的更完整的列表，请查看 PowerShell 参考。

有关如何设置 Azure 虚拟桌面环境的指南，请参阅 Azure 虚拟桌面环境。