أدوار Azure RBAC المضمنة لـAzure Virtual Desktop

مقالة
09/24/2024

يستخدم Azure Virtual Desktop التحكم في الوصول المستند إلى دور Azure (RBAC) للتحكم في الوصول إلى الموارد. هناك العديد من الأدوار المضمنة للاستخدام مع Azure Virtual Desktop وهي مجموعة من الأذونات. يمكنك تعيين أدوار للمستخدمين والمسؤولين وتمنح هذه الأدوار الإذن لتنفيذ مهام معينة. لمعرفة المزيد حول Azure RBAC، راجع ما المقصود Azure RBAC؟.

الأدوار المضمنة القياسية ل Azure هي المالك والمساهم والقارئ. ومع ذلك، يحتوي Azure Virtual Desktop على المزيد من الأدوار التي تتيح لك فصل أدوار الإدارة لتجمعات المضيفين ومجموعات التطبيقات ومساحات العمل. يتيح لك هذا الفصل تحكمًا أكثر دقة في المهام الإدارية. تُسمى هذه الأدوار وفقاً للأدوار القياسية لـ Azure والمنهجية الأقل امتيازاً. لا يحتوي Azure Virtual Desktop على دور مالك معين، ولكن يمكنك استخدام دور المالك العام لكائنات الخدمة.

يتم تفصيل الأدوار المضمنة ل Azure Virtual Desktop والأذونات لكل واحد في هذه المقالة. يمكنك تعيين كل دور إلى النطاق الذي تحتاجه. تحتوي بعض ميزات Azure Desktop على متطلبات محددة للنطاق المعين، والتي يمكنك العثور عليها في وثائق الميزة ذات الصلة. لمزيد من المعلومات، راجع فهم تعريفات دور Azure وفهم نطاق Azure RBAC.

مساهم ظاهرية سطح المكتب

يسمح دور مساهم ظاهرية سطح المكتب بإدارة جميع موارد Azure Virtual Desktop. تحتاج أيضا إلى دور مسؤول وصول المستخدم لتعيين مجموعات التطبيقات لحسابات المستخدمين أو مجموعات المستخدمين. لا يمنح هذا الدور المستخدمين حق الوصول إلى موارد الحساب.

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

قارئ ظاهرية واجهة مستخدم سطح المكتب

يسمح دور قارئ ظاهرية سطح المكتب بعرض جميع موارد Azure Virtual Desktop، ولكنه لا يسمح بالتغييرات.

المعرف: 49a72310-ab8d-41df-bbb0-79b649203868

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization//read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

مستخدم ظاهرية سطح المكتب

يسمح دور مستخدم ظاهرية سطح المكتب للمستخدمين باستخدام تطبيق على مضيف جلسة عمل من مجموعة تطبيقات كمستخدم غير إداري.

المعرف: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

نوع الإجراء	الأذونات
الإجراءات	بلا
notActions	بلا
dataActions	Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions	بلا

مساهم تجمع مضيف ظاهرية سطح المكتب

يسمح دور مساهم تجمع مضيف ظاهرية سطح المكتب بإدارة جميع جوانب تجمع المضيف. تحتاج أيضا إلى دور مساهم الجهاز الظاهري لإنشاء الأجهزة الظاهرية والمساهم في مجموعة تطبيقات ظاهرية سطح المكتب والمساهم في مساحة عمل ظاهرية سطح المكتب لنشر Azure Virtual Desktop باستخدام المدخل، أو يمكنك استخدام دور مساهم ظاهرية سطح المكتب.

المعرف: e307426c-f9b6-4e81-87de-d99efb3c32bc

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/hostpools/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

قارئ تجمع مضيف ظاهرية سطح المكتب

يسمح دور قارئ تجمع مضيف ظاهرية سطح المكتب بعرض جميع جوانب تجمع المضيف، ولكنه لا يسمح بالتغييرات.

المعرف: ceadfde2-b300-400a-ab7b-6143895aa822

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/hostpools//read Microsoft.DesktopVirtualization/hostpools/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

مساهم مجموعة تطبيقات ظاهرية سطح المكتب

يسمح دور مساهم مجموعة تطبيقات ظاهرية سطح المكتب بإدارة جميع جوانب مجموعة التطبيقات. إذا كنت ترغب في تعيين حسابات المستخدمين أو مجموعات المستخدمين لمجموعات التطبيقات أيضا، فأنت بحاجة أيضا إلى دور مسؤول وصول المستخدم.

المعرف: 86240b0e-9422-4c43-887b-b61143f32ba8

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/applicationgroups/* Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

قارئ مجموعة تطبيقات ظاهرية سطح المكتب

يسمح دور قارئ مجموعة تطبيقات ظاهرية سطح المكتب بعرض جميع جوانب مجموعة التطبيقات، ولكنه لا يسمح بإجراء تغييرات.

المعرف: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/applicationgroups//read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

مساهم مساحة عمل ظاهرية سطح المكتب

يسمح دور مساهم مساحة عمل ظاهرية سطح المكتب بإدارة جميع جوانب مساحات العمل. للحصول على معلومات حول التطبيقات المضافة إلى مجموعة تطبيقات ذات صلة، تحتاج أيضا إلى دور قارئ مجموعة تطبيقات ظاهرية سطح المكتب.

المعرف: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/workspaces/* Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

قارئ مساحة عمل ظاهرية سطح المكتب

يسمح دور قارئ مساحة عمل ظاهرية سطح المكتب للمستخدمين بعرض جميع جوانب مساحة العمل، ولكنه لا يسمح بالتغييرات.

المعرف: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/workspaces/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/
notActions	بلا
dataActions	بلا
notDataActions	بلا

عامل تشغيل جلسة عمل مستخدم ظاهرية سطح المكتب

يسمح دور عامل تشغيل جلسة مستخدم ظاهرية سطح المكتب بإرسال الرسائل، وقطع اتصال الجلسات، واستخدام وظيفة تسجيل الخروج لتسجيل خروج المستخدمين من مضيف جلسة العمل. ومع ذلك، لا يسمح هذا الدور بتجمع المضيف أو إدارة مضيف الجلسة مثل إزالة مضيف جلسة العمل وتغيير وضع التصريف وما إلى ذلك. يمكن أن يرى هذا الدور التعيينات، ولكن لا يمكنه تعديل الأعضاء. نوصي بتعيين هذا الدور إلى تجمعات محددة للمضيفين. إذا قمت بتعيين هذا الدور على مستوى مجموعة موارد، فإنه يوفر إذن قراءة على جميع تجمعات المضيفين ضمن مجموعة موارد.

المعرف: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

عامل تشغيل مضيف جلسة عمل ظاهرية سطح المكتب

يسمح دور عامل تشغيل مضيف جلسة عمل ظاهرية سطح المكتب بعرض مضيفي الجلسة وإزالتها، وتغيير وضع الاستنزاف. لا يمكن لهذا الدور إضافة مضيفي جلسة العمل باستخدام مدخل Microsoft Azure لأنه ليس لديه إذن كتابة لكائنات تجمع المضيف. لإضافة مضيفي الجلسة خارج مدخل Microsoft Azure، إذا كان الرمز المميز للتسجيل صالحا (تم إنشاؤه ولم تنته صلاحيته)، يمكن لهذا الدور إضافة مضيفي الجلسة إلى تجمع المضيف إذا تم تعيين دور مساهم الجهاز الظاهري أيضا.

المعرف: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	بلا
dataActions	بلا
notDataActions	بلا

تشغيل طاقة مساهم ظاهرية سطح المكتب

يتم استخدام دور مساهم الطاقة على ظاهرية سطح المكتب للسماح لموفر موارد Azure Virtual Desktop ببدء تشغيل الأجهزة الظاهرية.

المعرف: 489581de-a3bd-480d-9518-53dea7416b33

نوع الإجراء	الأذونات
الإجراءات	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	بلا
dataActions	بلا
notDataActions	بلا

مساهم تشغيل وإيقاف طاقة ظاهرية سطح المكتب

يتم استخدام دور Power On Off Contributor لسطح المكتب للسماح لموفر موارد Azure Virtual Desktop ببدء تشغيل الأجهزة الظاهرية وإيقافها.

المعرف: 40c5ff49-9181-41f8-ae61-143b0e78555e

نوع الإجراء	الأذونات
الإجراءات	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Insights/eventtypes/values/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	بلا
dataActions	بلا
notDataActions	بلا

مساهم الجهاز الظاهري لظاهرية سطح المكتب

يتم استخدام دور مساهم الجهاز الظاهري لسطح المكتب للسماح لموفر موارد Azure Virtual Desktop بإنشاء الأجهزة الظاهرية وحذفها وتحديثها وبدء تشغيلها وإيقافها.

المعرف: a959dbd1-f747-45e3-8ba6-dd80f235f97c

نوع الإجراء	الأذونات
الإجراءات	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read Microsoft.Compute/availabilitySets/read Microsoft.Compute/availabilitySets/write Microsoft.Compute/availabilitySets/vmSizes/read Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/disks/delete Microsoft.Compute/galleries/read Microsoft.Compute/galleries/images/read Microsoft.Compute/galleries/images/versions/read Microsoft.Compute/images/read Microsoft.Compute/locations/usages/read Microsoft.Compute/locations/vmSizes/read Microsoft.Compute/operations/read Microsoft.Compute/skus/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/runCommand/action Microsoft.Compute/virtualMachines/extensions/read Microsoft.Compute/virtualMachines/extensions/write Microsoft.Compute/virtualMachines/extensions/delete Microsoft.Compute/virtualMachines/runCommands/read Microsoft.Compute/virtualMachines/runCommands/write Microsoft.Compute/virtualMachines/vmSizes/read Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/delete Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read Microsoft.KeyVault/vaults/deploy/action Microsoft.Storage/storageAccounts/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read
notActions	بلا
dataActions	بلا
notDataActions	بلا

مشاركة عبر