你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 虚拟桌面具有委托访问模型,允许通过为特定用户分配角色来定义允许其访问量。 角色分配有三个组件:安全主体、角色定义和范围。 Azure 虚拟桌面委派访问模型基于 Azure RBAC 模型。 若要详细了解特定角色分配及其组件,请参阅 Azure 基于角色的访问控制概述。
Azure 虚拟桌面委托访问支持角色分配的每个元素的以下值:
- 安全主体
- 用户
- 用户组
- 服务主体
- 角色定义
- 内置角色
- 自定义角色
- 范围
- 主机池
- 应用程序组
- 工作区
用于角色分配的 PowerShell cmdlet
在开始之前,请确保按照 设置 PowerShell 模块 中的说明设置 Azure 虚拟桌面 PowerShell 模块(如果尚未设置)。
Azure 虚拟桌面在向用户或用户组发布应用程序组时, (Azure RBAC) 使用 Azure 基于角色的访问控制。 桌面虚拟化用户角色分配给用户或用户组,范围是应用程序组。 此角色为用户提供对应用程序组的特殊数据访问权限。
运行以下 cmdlet 以将Microsoft Entra用户添加到应用程序组:
New-AzRoleAssignment -SignInName <userupn> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
运行以下 cmdlet,将Microsoft Entra用户组添加到应用程序组:
New-AzRoleAssignment -ObjectId <usergroupobjectid> -RoleDefinitionName "Desktop Virtualization User" -ResourceName <appgroupname> -ResourceGroupName <resourcegroupname> -ResourceType 'Microsoft.DesktopVirtualization/applicationGroups'
后续步骤
有关每个角色可以使用的 PowerShell cmdlet 的更完整列表,请参阅 PowerShell 参考。
有关 Azure RBAC 中支持的角色的完整列表,请参阅 Azure 内置角色。
有关如何设置 Azure 虚拟桌面环境的指南,请参阅 Azure 虚拟桌面环境。