Dela via

Inbyggda Azure RBAC-roller för Azure Virtual Desktop

  • Artikel

Azure Virtual Desktop använder rollbaserad åtkomstkontroll i Azure (RBAC) för att styra åtkomsten till resurser. Det finns många inbyggda roller för användning med Azure Virtual Desktop som är en samling behörigheter. Du tilldelar roller till användare och administratörer och dessa roller ger behörighet att utföra vissa uppgifter. Mer information om Azure RBAC finns i Vad är Azure RBAC.

De inbyggda standardrollerna för Azure är Ägare, Deltagare och Läsare. Azure Virtual Desktop har dock fler roller som gör att du kan separera hanteringsroller för värdpooler, programgrupper och arbetsytor. Med den här separationen får du mer detaljerad kontroll över administrativa uppgifter. De här rollerna namnges i enlighet med Azures standardroller och metod för lägsta behörighet. Azure Virtual Desktop har ingen specifik ägarroll, men du kan använda den allmänna ägarrollen för tjänstobjekten.

De inbyggda rollerna för Azure Virtual Desktop och behörigheterna för var och en beskrivs i den här artikeln. Du kan tilldela varje roll till det omfång du behöver. Vissa Azure Desktop-funktioner har specifika krav för det tilldelade omfånget, som du hittar i dokumentationen för den relevanta funktionen. Mer information finns i Förstå Rolldefinitioner för Azure och Förstå omfång för Azure RBAC.

En fullständig lista över alla inbyggda roller finns i Inbyggda Roller i Azure.

Virtualiseringsdeltagare för skrivbord

Rollen Virtualiseringsdeltagare för skrivbord gör det möjligt att hantera alla dina Azure Virtual Desktop-resurser, förutom användar- eller grupptilldelning. Om du vill tilldela användarkonton eller användargrupper till resurser behöver du även rollen Administratör för användaråtkomst. Rollen Virtualiseringsdeltagare för skrivbord ger inte användarna åtkomst till beräkningsresurser.

ID: 082f0a83-3be5-4ba1-904c-961cca79b387

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Virtualiseringsläsare för skrivbord

Rollen Virtualiseringsläsare för skrivbord tillåter visning av alla dina Azure Virtual Desktop-resurser, men tillåter inte ändringar.

ID: 49a72310-ab8d-41df-bbb0-79b649203868

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Användare av skrivbordsvirtualisering

Med rollen Virtualiseringsanvändare för skrivbord kan användare använda ett program på en sessionsvärd från en programgrupp som en icke-administrativ användare.

ID: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Åtgärdstyp Behörigheter
åtgärder Ingen
notActions Ingen
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Ingen

Deltagare i värdpoolen för virtualisering av skrivbordsvirtualisering

Rollen Deltagare i Värdpool för virtualisering för skrivbordsvirtualisering gör det möjligt att hantera alla aspekter av en värdpool. Du behöver också rollen Virtuell datordeltagare för att skapa virtuella datorer och rollen Deltagare i skrivbordsvirtualiseringsprogram och Arbetsytedeltagare för skrivbordsvirtualisering för att distribuera Azure Virtual Desktop med hjälp av portalen, eller så kan du använda rollen Virtualiseringsdeltagare för skrivbord.

ID: e307426c-f9b6-4e81-87de-d99efb3c32bc

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Värdpoolläsare för virtualisering av skrivbordsvirtualisering

Rollen Värdpoolläsare för virtualisering för skrivbordsdator tillåter visning av alla aspekter av en värdpool, men tillåter inte ändringar.

ID: ceadfde2-b300-400a-ab7b-6143895aa822

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Deltagare i virtualiseringsprogramgrupp för skrivbord

Rollen Deltagare i programgruppen För skrivbordsvirtualisering gör det möjligt att hantera alla aspekter av en programgrupp, förutom användar- eller grupptilldelning. Om du också vill tilldela användarkonton eller användargrupper till programgrupper behöver du även rollen Administratör för användaråtkomst.

ID: 86240b0e-9422-4c43-887b-b61143f32ba8

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Programgruppläsare för virtualisering av skrivbordsvirtualisering

Rollen Programgruppläsare för skrivbordsvirtualisering tillåter visning av alla aspekter av en programgrupp, men tillåter inte ändringar.

ID: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Deltagare i virtualisering av skrivbordsarbetsyta

Rollen Deltagare i skrivbordsvirtualiseringsarbetsyta gör det möjligt att hantera alla aspekter av arbetsytor. För att få information om program som lagts till i en relaterad programgrupp behöver du även rollen Programgruppläsare för skrivbordsvirtualiseringsprogram.

ID: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Desktop Virtualization Workspace Reader

Rollen Läsare av skrivbordsvirtualiseringsarbetsyta gör det möjligt för användare att visa alla aspekter av en arbetsyta, men tillåter inte ändringar.

ID: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Användarsessionsoperator för skrivbordsvirtualisering

Rollen Användarsessionsoperator för skrivbordsvirtualisering gör det möjligt att skicka meddelanden, koppla från sessioner och använda utloggningsfunktionen för att logga ut användare från en sessionsvärd. Den här rollen tillåter dock inte värdpools- eller sessionsvärdhantering som att ta bort en sessionsvärd, ändra avtappningsläge och så vidare. Den här rollen kan se tilldelningar, men kan inte ändra medlemmar. Vi rekommenderar att du tilldelar den här rollen till specifika värdpooler. Om du tilldelar den här rollen på resursgruppsnivå ger den läsbehörighet för alla värdpooler under en resursgrupp.

ID: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Värdoperator för skrivbordsvirtualiseringssession

Med rollen Värdoperator för skrivbordsvirtualiseringssession kan du visa och ta bort sessionsvärdar och ändra avtappningsläge. Den här rollen kan inte lägga till sessionsvärdar med hjälp av Azure Portal eftersom den inte har skrivbehörighet för värdpoolobjekt. Om du vill lägga till sessionsvärdar utanför Azure Portal, om registreringstoken är giltig (genererad och inte har upphört att gälla), kan den här rollen lägga till sessionsvärdar i värdpoolen om rollen Virtuell datordeltagare också tilldelas.

ID: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Power On-deltagare för skrivbordsvirtualisering

Rollen Power On-deltagare för virtualisering av skrivbordsvirtualisering används för att tillåta azure virtual desktop-resursprovidern att starta virtuella datorer.

ID: 489581de-a3bd-480d-9518-53dea7416b33

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.Compute/virtualMachines/start/action
  • microsoft.compute/virtualmachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Ingen
dataActions Ingen
notDataActions Ingen

Power On Off-deltagare för skrivbordsvirtualisering

Rollen Power On Off-deltagare för skrivbordsvirtualisering används för att tillåta Azure Virtual Desktop-resursprovidern att starta och stoppa virtuella datorer.

ID: 40c5ff49-9181-41f8-ae61-143b0e78555e

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.Compute/virtualMachines/start/action
  • microsoft.compute/virtualmachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Ingen
dataActions Ingen
notDataActions Ingen

Virtualiseringsdeltagare för virtuell dator för skrivbord

Rollen Virtualisering av virtuell dator för skrivbord används för att tillåta Azure Virtual Desktop-resursprovidern att skapa, ta bort, uppdatera, starta och stoppa virtuella datorer.

ID: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Åtgärdstyp Behörigheter
åtgärder
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • microsoft.compute/virtualmachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Ingen
dataActions Ingen
notDataActions Ingen