أدوار Azure RBAC المضمنة لـAzure Virtual Desktop

مقالة
01/29/2024

يستخدم Azure Virtual Desktop التحكم في الوصول المستند إلى دور Azure (RBAC) للتحكم في الوصول إلى الموارد. هناك العديد من الأدوار المضمنة للاستخدام مع Azure Virtual Desktop وهي مجموعة من الأذونات. يمكنك تعيين أدوار للمستخدمين والمسؤولين وتمنح هذه الأدوار الإذن لتنفيذ مهام معينة. لمعرفة المزيد حول Azure RBAC، راجع ما المقصود Azure RBAC؟.

الأدوار المضمنة القياسية ل Azure هي المالك والمساهم والقارئ. ومع ذلك، يحتوي Azure Virtual Desktop على المزيد من الأدوار التي تتيح لك فصل أدوار الإدارة لتجمعات المضيفين ومجموعات التطبيقات ومساحات العمل. يتيح لك هذا الفصل تحكمًا أكثر دقة في المهام الإدارية. تُسمى هذه الأدوار وفقاً للأدوار القياسية لـ Azure والمنهجية الأقل امتيازاً. لا يحتوي Azure Virtual Desktop على دور مالك معين، ولكن يمكنك استخدام دور المالك العام لكائنات الخدمة.

يتم تفصيل الأدوار المضمنة ل Azure Virtual Desktop والأذونات لكل واحد في هذه المقالة. يمكنك تعيين كل دور إلى النطاق الذي تحتاجه. تحتوي بعض ميزات Azure Desktop على متطلبات محددة للنطاق المعين، والتي يمكنك العثور عليها في وثائق الميزة ذات الصلة. لمزيد من المعلومات، راجع فهم تعريفات دور Azure وفهم نطاق Azure RBAC.

مساهم ظاهرية سطح المكتب

يسمح دور مساهم ظاهرية سطح المكتب بإدارة جميع موارد Azure Virtual Desktop. تحتاج أيضا إلى دور المستخدم Access مسؤول istrator لتعيين مجموعات التطبيقات لحسابات المستخدمين أو مجموعات المستخدمين. لا يمنح هذا الدور المستخدمين حق الوصول إلى موارد الحساب.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

قارئ ظاهرية واجهة مستخدم سطح المكتب

يسمح دور قارئ ظاهرية سطح المكتب بعرض جميع موارد Azure Virtual Desktop، ولكنه لا يسمح بالتغييرات.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization//read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

مستخدم ظاهرية سطح المكتب

يسمح دور مستخدم ظاهرية سطح المكتب للمستخدمين باستخدام تطبيق على مضيف جلسة عمل من مجموعة تطبيقات كمستخدم غير إداري.

نوع الإجراء	الأذونات
الإجراءات	بلا
notActions	بلا
dataActions	Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions	بلا

مساهم تجمع مضيف ظاهرية سطح المكتب

يسمح دور مساهم تجمع مضيف ظاهرية سطح المكتب بإدارة جميع جوانب تجمع المضيف. تحتاج أيضا إلى دور مساهم الجهاز الظاهري لإنشاء الأجهزة الظاهرية والمساهم في مجموعة تطبيقات ظاهرية سطح المكتب والمساهم في مساحة عمل ظاهرية سطح المكتب لنشر Azure Virtual Desktop باستخدام المدخل، أو يمكنك استخدام دور مساهم ظاهرية سطح المكتب.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/hostpools/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

قارئ تجمع مضيف ظاهرية سطح المكتب

يسمح دور قارئ تجمع مضيف ظاهرية سطح المكتب بعرض جميع جوانب تجمع المضيف، ولكنه لا يسمح بالتغييرات.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/hostpools//read Microsoft.DesktopVirtualization/hostpools/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

مساهم مجموعة تطبيقات ظاهرية سطح المكتب

يسمح دور مساهم مجموعة تطبيقات ظاهرية سطح المكتب بإدارة جميع جوانب مجموعة التطبيقات. إذا كنت ترغب في تعيين حسابات المستخدمين أو مجموعات المستخدمين لمجموعات التطبيقات أيضا، فستحتاج أيضا إلى دور المستخدم Access مسؤول istrator.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/applicationgroups/* Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

قارئ مجموعة تطبيقات ظاهرية سطح المكتب

يسمح دور قارئ مجموعة تطبيقات ظاهرية سطح المكتب بعرض جميع جوانب مجموعة التطبيقات، ولكنه لا يسمح بإجراء تغييرات.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/applicationgroups//read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

مساهم مساحة عمل ظاهرية سطح المكتب

يسمح دور مساهم مساحة عمل ظاهرية سطح المكتب بإدارة جميع جوانب مساحات العمل. للحصول على معلومات حول التطبيقات المضافة إلى مجموعة تطبيقات ذات صلة، تحتاج أيضا إلى دور قارئ مجموعة تطبيقات ظاهرية سطح المكتب.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/workspaces/* Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

قارئ مساحة عمل ظاهرية سطح المكتب

يسمح دور قارئ مساحة عمل ظاهرية سطح المكتب للمستخدمين بعرض جميع جوانب مساحة العمل، ولكنه لا يسمح بالتغييرات.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/workspaces/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/
notActions	بلا
dataActions	بلا
notDataActions	بلا

عامل تشغيل جلسة عمل مستخدم ظاهرية سطح المكتب

يسمح دور عامل تشغيل جلسة مستخدم ظاهرية سطح المكتب بإرسال الرسائل، وقطع اتصال الجلسات، واستخدام وظيفة تسجيل الخروج لتسجيل خروج المستخدمين من مضيف جلسة العمل. ومع ذلك، لا يسمح هذا الدور بتجمع المضيف أو إدارة مضيف الجلسة مثل إزالة مضيف جلسة العمل وتغيير وضع التصريف وما إلى ذلك. يمكن أن يرى هذا الدور التعيينات، ولكن لا يمكنه تعديل الأعضاء. نوصي بتعيين هذا الدور إلى تجمعات محددة للمضيفين. إذا قمت بتعيين هذا الدور على مستوى مجموعة موارد، فإنه يوفر إذن قراءة على جميع تجمعات المضيفين ضمن مجموعة موارد.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

عامل تشغيل مضيف جلسة عمل ظاهرية سطح المكتب

يسمح دور عامل تشغيل مضيف جلسة عمل ظاهرية سطح المكتب بعرض مضيفي الجلسة وإزالتها، وتغيير وضع الاستنزاف. لا يمكن لهذا الدور إضافة مضيفي جلسة العمل باستخدام مدخل Microsoft Azure لأنه ليس لديه إذن كتابة لكائنات تجمع المضيف. لإضافة مضيفي الجلسة خارج مدخل Microsoft Azure، إذا كان الرمز المميز للتسجيل صالحا (تم إنشاؤه ولم تنته صلاحيته)، يمكن لهذا الدور إضافة مضيفي الجلسة إلى تجمع المضيف إذا تم تعيين دور مساهم الجهاز الظاهري أيضا.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

تشغيل طاقة مساهم ظاهرية سطح المكتب

يتم استخدام دور مساهم الطاقة على ظاهرية سطح المكتب للسماح لموفر موارد Azure Virtual Desktop ببدء تشغيل الأجهزة الظاهرية.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	بلا
dataActions	بلا
notDataActions	بلا

مساهم تشغيل وإيقاف طاقة ظاهرية سطح المكتب

يتم استخدام دور Power On Off Contributor لسطح المكتب للسماح لموفر موارد Azure Virtual Desktop ببدء تشغيل الأجهزة الظاهرية وإيقافها.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Insights/eventtypes/values/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	بلا
dataActions	بلا
notDataActions	بلا

مساهم الجهاز الظاهري لظاهرية سطح المكتب

يتم استخدام دور مساهم الجهاز الظاهري لسطح المكتب للسماح لموفر موارد Azure Virtual Desktop بإنشاء الأجهزة الظاهرية وحذفها وتحديثها وبدء تشغيلها وإيقافها.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read Microsoft.Compute/availabilitySets/read Microsoft.Compute/availabilitySets/write Microsoft.Compute/availabilitySets/vmSizes/read Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/disks/delete Microsoft.Compute/galleries/read Microsoft.Compute/galleries/images/read Microsoft.Compute/galleries/images/versions/read Microsoft.Compute/images/read Microsoft.Compute/locations/usages/read Microsoft.Compute/locations/vmSizes/read Microsoft.Compute/operations/read Microsoft.Compute/skus/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/runCommand/action Microsoft.Compute/virtualMachines/extensions/read Microsoft.Compute/virtualMachines/extensions/write Microsoft.Compute/virtualMachines/extensions/delete Microsoft.Compute/virtualMachines/runCommands/read Microsoft.Compute/virtualMachines/runCommands/write Microsoft.Compute/virtualMachines/vmSizes/read Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/delete Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read Microsoft.KeyVault/vaults/deploy/action Microsoft.Storage/storageAccounts/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read
notActions	بلا
dataActions	بلا
notDataActions	بلا