Control de acceso basado en rol (RBAC) para Azure Virtual Desktop
Azure Virtual Desktop usa el control de acceso basado en rol (RBAC) de Azure para controlar el acceso a los recursos. Hay muchos roles integrados para su uso con Azure Virtual Desktop que son una colección de permisos. Se asignan roles a usuarios y administradores que conceden permiso para llevar a cabo determinadas tareas.
Los roles estándar integrados en Azure son Propietario, Colaborador y Lector. Sin embargo, Azure Virtual Desktop tiene roles adicionales que le permiten separar roles de administración para grupos de hosts, grupos de aplicaciones y áreas de trabajo. Esta separación le permite tener un control más preciso sobre las tareas administrativas. Estos roles se denominan conforme a los roles estándar de Azure y a la metodología de privilegios mínimos. Azure Virtual Desktop no tiene un rol de propietario específico, pero puede usar el rol de propietario general para los objetos de servicio.
Los roles integrados para Azure Virtual Desktop y los permisos de cada uno se detallan en este artículo. Puede asignar cada rol al ámbito que necesite. Algunas características de Azure Desktop tienen requisitos específicos para el ámbito asignado, que puede encontrar en la documentación de la característica pertinente. Para obtener más información, consulte Descripción de las definiciones de roles de Azure y Descripción del ámbito de Azure RBAC.
Colaborador de virtualización del escritorio
El rol Colaborador de virtualización de escritorio permite administrar todos los recursos de Azure Virtual Desktop. También necesita el rol de Administrador de acceso de usuarios para asignar grupos de aplicaciones a cuentas de usuarios o grupos de usuarios. Este rol no concede a los usuarios acceso a los recursos de proceso.
Usuario de Desktop Virtualization
El rol Usuario de virtualización de escritorio permite a los usuarios usar una aplicación en un host de sesión de un grupo de aplicaciones como usuario no administrativo
Colaborador del grupo de hosts de Desktop Virtualization
El rol Colaborador del grupo de hosts de virtualización de escritorio permite administrar todos los aspectos de un grupo de hosts. También necesita el rol Colaborador de máquina virtual para crear máquinas virtuales y los roles Colaborador de grupo de aplicaciones de virtualización de escritorio y Colaborador de área de trabajo de virtualización de escritorio para implementar Azure Virtual Desktop usando el portal, o puede usar el rol Colaborador de virtualización de escritorio.
Colaborador del grupo de aplicaciones de Desktop Virtualization
El rol de Colaborador del grupo de aplicaciones de virtualización de escritorio permite administrar todos los aspectos de un grupo de aplicaciones. Si también quiere asignar cuentas de usuario o grupos de usuarios a grupos de aplicaciones, también necesitará el rol de Administrador de acceso de usuarios.
Colaborador del área de trabajo de Desktop Virtualization
El rol Colaborador del área de trabajo de Desktop Virtualization permite administrar todos los aspectos de las áreas de trabajo. Para obtener información sobre las aplicaciones agregadas a un grupo de aplicaciones relacionado, también necesita el rol Lector del grupo de aplicaciones de virtualización de escritorio.
Operador de sesión de usuario de Desktop Virtualization
El rol de Operador de sesión de usuario de virtualización de escritorio permite enviar mensajes, desconectar sesiones y usar la función logoff para cerrar la sesión de los usuarios en un host de sesión. Sin embargo, este rol no permite administrar el grupo de hosts ni el host de sesión, como eliminar un host de sesión, cambiar el modo de purga, etc. Este rol puede ver asignaciones, pero no puede modificar miembros. Se recomienda asignar este rol a grupos de hosts específicos. Si asigna este rol en un nivel de grupo de recursos, proporciona permiso de lectura en todos los grupos host de un grupo de recursos.
Operador de host de sesión de Desktop Virtualization
El rol de Operador de host de sesión de virtualización de escritorio permite ver y eliminar hosts de sesión, así como cambiar el modo de purga. Este rol no puede agregar hosts de sesión usando Azure Portal porque no tiene permiso de escritura para los objetos del grupo de hosts. Para agregar hosts de sesión fuera de Azure Portal, si el token de registro es válido (se ha generado y no ha expirado), este rol puede agregar hosts de sesión al grupo de host si el rol de Colaborador de máquina virtual también está asignado.
Colaborador de activación de virtualización del escritorio
El rol Colaborador de encendido de virtualización del escritorio se usa para permitir al proveedor de recursos de Azure Virtual Desktop iniciar máquinas virtuales.
Colaborador de desactivación de virtualización del escritorio
El rol de Colaborador de encendido y apagado de virtualización de escritorio se usa para permitir que el proveedor de recursos de Azure Virtual Desktop inicie y detenga máquinas virtuales.
Colaborador de máquina virtual de virtualización del escritorio
El rol Colaborador de máquina virtual de virtualización del escritorio se usa para permitir al proveedor de recursos de Azure Virtual Desktop crear, eliminar, actualizar, iniciar y detener máquinas virtuales.