Udostępnij za pośrednictwem

Wbudowane role RBAC platformy Azure dla usługi Azure Virtual Desktop

  • Artykuł

Usługa Azure Virtual Desktop używa kontroli dostępu opartej na rolach (RBAC) platformy Azure do kontrolowania dostępu do zasobów. Istnieje wiele wbudowanych ról do użycia z usługą Azure Virtual Desktop, które są kolekcją uprawnień. Role są przypisywane do użytkowników i administratorów, a te role dają uprawnienia do wykonywania określonych zadań. Aby dowiedzieć się więcej na temat kontroli dostępu opartej na rolach platformy Azure, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure?.

Standardowe wbudowane role platformy Azure to Właściciel, Współautor i Czytelnik. Jednak usługa Azure Virtual Desktop ma więcej ról, które umożliwiają oddzielenie ról zarządzania dla pul hostów, grup aplikacji i obszarów roboczych. Ta separacja umożliwia bardziej szczegółową kontrolę nad zadaniami administracyjnymi. Te role są nazywane zgodnie ze standardową rolą platformy Azure i metodologią najniższych uprawnień. Usługa Azure Virtual Desktop nie ma określonej roli właściciela, ale możesz użyć roli właściciela ogólnego dla obiektów usługi.

Wbudowane role usługi Azure Virtual Desktop i uprawnienia dla każdego z nich zostały szczegółowo opisane w tym artykule. Każdą rolę można przypisać do potrzebnego zakresu. Niektóre funkcje usługi Azure Desktop mają określone wymagania dotyczące przypisanego zakresu, które można znaleźć w dokumentacji odpowiedniej funkcji. Aby uzyskać więcej informacji, zobacz Omówienie definicji ról platformy Azure i Omówienie zakresu kontroli dostępu opartej na rolach platformy Azure.

Współautor wirtualizacji pulpitu

Rola Współautor wirtualizacji pulpitu umożliwia zarządzanie wszystkimi zasobami usługi Azure Virtual Desktop. Do przypisywania grup aplikacji do kont użytkowników lub grup użytkowników potrzebna jest również rola administratora dostępu użytkowników. Ta rola nie udziela użytkownikom dostępu do zasobów obliczeniowych.

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Czytnik wirtualizacji pulpitu

Rola Czytelnik wirtualizacji pulpitu umożliwia wyświetlanie wszystkich zasobów usługi Azure Virtual Desktop, ale nie zezwala na zmiany.

Identyfikator: 49a72310-ab8d-41df-bbb0-79b649203868

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Użytkownik wirtualizacji pulpitu

Rola Użytkownik wirtualizacji pulpitu umożliwia użytkownikom używanie aplikacji na hoście sesji z grupy aplikacji jako użytkownik niebędący administratorem.

Identyfikator: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Typ akcji Uprawnienia
akcje Brak
notActions Brak
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Brak

Współautor puli hostów wirtualizacji pulpitu

Rola Współautor puli hostów wirtualizacji pulpitu umożliwia zarządzanie wszystkimi aspektami puli hostów. Potrzebujesz również roli Współautor maszyny wirtualnej, aby utworzyć maszyny wirtualne i rolę Współautor grupy aplikacji wirtualizacji pulpitu i Współautor obszaru roboczego wirtualizacji pulpitu w celu wdrożenia usługi Azure Virtual Desktop przy użyciu portalu lub użyć roli Współautor wirtualizacji pulpitu.

Identyfikator: e307426c-f9b6-4e81-87de-d99efb3c32bc

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Czytnik puli hostów wirtualizacji pulpitu

Rola Czytelnik puli hostów wirtualizacji pulpitu umożliwia wyświetlanie wszystkich aspektów puli hostów, ale nie zezwala na zmiany.

Identyfikator: ceadfde2-b300-400a-ab7b-6143895aa822

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Współautor grupy aplikacji wirtualizacji pulpitu

Rola Współautor grupy aplikacji wirtualizacji pulpitu umożliwia zarządzanie wszystkimi aspektami grupy aplikacji. Jeśli chcesz również przypisać konta użytkowników lub grupy użytkowników do grup aplikacji, musisz również mieć rolę Administrator dostępu użytkowników.

Identyfikator: 86240b0e-9422-4c43-887b-b61143f32ba8

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Czytelnik grupy aplikacji wirtualizacji pulpitu

Rola Czytelnik grupy aplikacji wirtualizacji pulpitu umożliwia wyświetlanie wszystkich aspektów grupy aplikacji, ale nie zezwala na zmiany.

Identyfikator: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Współautor obszaru roboczego wirtualizacji pulpitu

Rola Współautor obszaru roboczego wirtualizacji pulpitu umożliwia zarządzanie wszystkimi aspektami obszarów roboczych. Aby uzyskać informacje o aplikacjach dodanych do powiązanej grupy aplikacji, potrzebujesz również roli Czytelnik grupy aplikacji wirtualizacji pulpitu.

Identyfikator: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Czytelnik obszaru roboczego wirtualizacji pulpitu

Rola Czytelnik obszaru roboczego wirtualizacji pulpitu umożliwia użytkownikom wyświetlanie wszystkich aspektów obszaru roboczego, ale nie zezwala na zmiany.

Identyfikator: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Operator sesji użytkownika wirtualizacji pulpitu

Rola Operator sesji użytkownika wirtualizacji pulpitu umożliwia wysyłanie komunikatów, rozłączanie sesji i używanie funkcji wylogowania w celu wylogowania użytkowników z hosta sesji. Jednak ta rola nie zezwala na zarządzanie pulami hostów ani hostami sesji, takimi jak usuwanie hosta sesji, zmienianie trybu opróżniania itd. Ta rola może wyświetlać przypisania, ale nie może modyfikować członków. Zalecamy przypisanie tej roli do określonych pul hostów. Jeśli przypiszesz tę rolę na poziomie grupy zasobów, zapewni uprawnienie do odczytu dla wszystkich pul hostów w grupie zasobów.

Identyfikator: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Operator hosta sesji wirtualizacji pulpitu

Rola Operator hosta sesji wirtualizacji pulpitu umożliwia wyświetlanie i usuwanie hostów sesji oraz zmienianie trybu opróżniania. Ta rola nie może dodawać hostów sesji przy użyciu witryny Azure Portal, ponieważ nie ma uprawnień do zapisu dla obiektów puli hostów. W przypadku dodawania hostów sesji poza witryną Azure Portal, jeśli token rejestracji jest prawidłowy (wygenerowany i nie wygasł), ta rola może dodać hosty sesji do puli hostów, jeśli przypisano również rolę Współautor maszyny wirtualnej.

Identyfikator: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Power On Współautor wirtualizacji pulpitu

Rola Współautora wirtualizacji pulpitu jest używana do zezwalania dostawcy zasobów usługi Azure Virtual Desktop na uruchamianie maszyn wirtualnych.

Identyfikator: 489581de-a3bd-480d-9518-53dea7416b33

Typ akcji Uprawnienia
akcje
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Brak
dataActions Brak
notDataActions Brak

Współautor włączania zasilania wirtualizacji pulpitu

Rola Współautor włączania włączania wirtualizacji pulpitu służy do zezwalania dostawcy zasobów usługi Azure Virtual Desktop na uruchamianie i zatrzymywanie maszyn wirtualnych.

Identyfikator: 40c5ff49-9181-41f8-ae61-143b0e78555e

Typ akcji Uprawnienia
akcje
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Brak
dataActions Brak
notDataActions Brak

Współautor maszyny wirtualnej wirtualizacji pulpitu

Rola Współautor maszyny wirtualnej wirtualizacji pulpitu umożliwia dostawcy zasobów usługi Azure Virtual Desktop tworzenie, usuwanie, aktualizowanie, uruchamianie i zatrzymywanie maszyn wirtualnych.

Identyfikator: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreement/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Brak
dataActions Brak
notDataActions Brak