Azure Virtual Desktop (クラシック) 内の委任されたアクセス
重要
この内容は、Azure Resource Manager Azure Virtual Desktop オブジェクトをサポートしていない Azure Virtual Desktop (クラシック) に適用されます。 Azure Resource Manager Azure Virtual Desktop オブジェクトを管理しようとしている場合は、こちらの記事を参照してください。
Azure Virtual Desktop には委任されたアクセス モデルが用意され、これにより特定のユーザーにロールを割り当てることで、それらのユーザーが持つことのできるアクセス数を定義できます。 ロールの割り当てには、セキュリティ プリンシパル、ロールの定義、スコープの 3 つのコンポーネントがあります。 Azure Virtual Desktop の委任されたアクセス モデルは、Azure RBAC モデルに基づいています。 特定のロールの割り当てとそのコンポーネントの詳細については、「Azure ロールベースのアクセス制御の概要」を参照してください。
Azure Virtual Desktop の委任されたアクセスでは、ロール割り当ての要素ごとに次の値がサポートされています。
- セキュリティ プリンシパル
- ユーザー
- サービス プリンシパル
- ロール定義
- 組み込みのロール
- Scope
- テナント グループ
- テナント
- ホスト プール
- アプリケーション グループ
組み込みのロール
Azure Virtual Desktop 内の委任されたアクセスには、ユーザーおよびサービス プリンシパルに割り当てることのできる組み込みロールの定義がいくつかあります。
- RDS 所有者は、リソースへのアクセスを含め、すべてを管理できます。
- RDS 共同作成者は、すべてを管理できますが、リソースにはアクセスできません。
- RDS 閲覧者は、すべてを閲覧できますが、変更を加えることはできません。
- RDS オペレーターは、診断アクティビティを表示できます。
ロール割り当てを目的とした PowerShell のコマンドレット
次のコマンドレットを実行して、ロールの割り当てを作成、表示、削除できます。
- Get-RdsRoleAssignment はロール割り当ての一覧を表示します。
- New-RdsRoleAssignment は新しいロール割り当てを作成します。
- Remove-RdsRoleAssignment はロールの割り当てを削除します。
使用できるパラメーター
基本的な 3 つのコマンドレットを次のパラメーターで変更できます。
- AadTenantId: サービス プリンシパルがメンバーとなる Microsoft Entra テナント ID を指定します。
- AppGroupName: リモート デスクトップのアプリケーション グループの名前です。
- Diagnostics: 診断のスコープを示します (Infrastructure または Tenant パラメーターのいずれかと組み合わせる必要があります)。
- HostPoolName: リモート デスクトップのホスト プールの名前です。
- Infrastructure: インフラストラクチャのスコープを示します。
- RoleDefinitionName: ユーザー、グループ、またはアプリに割り当てられているリモート デスクトップ サービスのロールベース アクセス制御のロールの名前 (リモート デスクトップ サービスの所有者、リモート デスクトップ サービスの閲覧者など)。
- ServerPrincipleName: Microsoft Entra アプリケーションの名前。
- SignInName: ユーザーの電子メール アドレスまたはユーザー プリンシパル名。
- TenantName: リモート デスクトップ テナントの名前。
次のステップ
各ロールで使用できる PowerShell コマンドレットのより詳細な一覧については、「PowerShell リファレンス」を参照してください。
Azure Virtual Desktop 環境を設定する方法のガイドについては、「Azure Virtual Desktop 環境」を参照してください。