Sdílet prostřednictvím

Předdefinované role Azure RBAC pro Azure Virtual Desktop

Azure Virtual Desktop používá řízení přístupu na základě role (RBAC) v Azure k řízení přístupu k prostředkům. Existuje mnoho předdefinovaných rolí pro použití se službou Azure Virtual Desktop, které představují kolekci oprávnění. Přiřazujete role uživatelům a správcům a tyto role udělují oprávnění k provádění určitých úkolů. Další informace o Azure RBAC najdete v tématu Co je Azure RBAC.

Standardní předdefinované role pro Azure jsou Vlastník, Přispěvatel a Čtenář. Azure Virtual Desktop má ale více rolí, které umožňují oddělit role správy pro fondy hostitelů, skupiny aplikací a pracovní prostory. Toto oddělení umožňuje podrobnější kontrolu nad úlohami správy. Tyto role jsou pojmenovány v souladu se standardními rolemi Azure a metodologií s nejnižšími oprávněními. Azure Virtual Desktop nemá konkrétní roli vlastníka, ale pro objekty služby můžete použít obecnou roli Vlastník.

Předdefinované role služby Azure Virtual Desktop a oprávnění pro každou z nich jsou podrobně popsané v tomto článku. Každou roli můžete přiřadit k požadovanému oboru. Některé desktopové funkce Azure mají specifické požadavky na přiřazený obor, které najdete v dokumentaci k příslušné funkci. Další informace najdete v tématech Vysvětlení definic rolí Azure a Vysvětlení oboru pro Azure RBAC.

Úplný seznam všech dostupných předdefinovaných rolí najdete v tématu Předdefinované role Azure.

Přispěvatel virtualizace plochy

Role Přispěvatel virtualizace plochy umožňuje spravovat všechny prostředky služby Azure Virtual Desktop kromě přiřazení uživatelů nebo skupin. Pokud chcete k prostředkům přiřadit uživatelské účty nebo skupiny uživatelů, potřebujete také roli Správce uživatelských přístupů . Role Přispěvatel virtualizace plochy neuděluje uživatelům přístup k výpočetním prostředkům.

Identifikace: 082f0a83-3be5-4ba1-904c-961cca79b387

Typ akce Oprávnění
Akce
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Žádné
dataActions Žádné
notDataActions Žádné

Čtečka virtualizace plochy

Role Čtenář virtualizace plochy umožňuje zobrazit všechny prostředky služby Azure Virtual Desktop, ale nepovoluje změny.

Identifikace: 49a72310-ab8d-41df-bbb0-79b649203868

Typ akce Oprávnění
Akce
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Žádné
dataActions Žádné
notDataActions Žádné

Uživatel virtualizace plochy

Role uživatele virtualizace plochy umožňuje uživatelům používat aplikaci na hostiteli relace ze skupiny aplikací jako uživatele bez oprávnění správce.

Identifikace: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Typ akce Oprávnění
Akce Žádné
notActions Žádné
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Žádné

Přispěvatel fondu hostitelů virtualizace plochy

Role Přispěvatel fondu hostitelů virtualizace plochy umožňuje spravovat všechny aspekty fondu hostitelů. K vytvoření virtuálních počítačů potřebujete také roli Přispěvatel virtuálních počítačů a role Přispěvatel skupiny aplikací virtualizace plochy a Přispěvatel pracovního prostoru virtualizace plochy k nasazení Služby Azure Virtual Desktop pomocí portálu, případně můžete použít roli Přispěvatel virtualizace plochy .

Identifikace: e307426c-f9b6-4e81-87de-d99efb3c32bc

Typ akce Oprávnění
Akce
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Žádné
dataActions Žádné
notDataActions Žádné

Čtečka fondu hostitelů virtualizace plochy

Role Čtenář fondu hostitelů virtualizace plochy umožňuje zobrazit všechny aspekty fondu hostitelů, ale neumožňuje změny.

Identifikace: ceadfde2-b300-400a-ab7b-6143895aa822

Typ akce Oprávnění
Akce
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Žádné
dataActions Žádné
notDataActions Žádné

Přispěvatel skupiny aplikací virtualizace plochy

Role Přispěvatel skupiny aplikací virtualizace plochy umožňuje spravovat všechny aspekty skupiny aplikací kromě přiřazení uživatele nebo skupiny. Pokud chcete také přiřadit uživatelské účty nebo skupiny uživatelů ke skupinám aplikací, potřebujete také roli Správce uživatelských přístupů .

Identifikace: 86240b0e-9422-4c43-887b-b61143f32ba8

Typ akce Oprávnění
Akce
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Žádné
dataActions Žádné
notDataActions Žádné

Čtečka skupin aplikací virtualizace plochy

Role Čtenář skupiny aplikací virtualizace plochy umožňuje zobrazit všechny aspekty skupiny aplikací, ale nepovoluje změny.

Identifikace: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Typ akce Oprávnění
Akce
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Žádné
dataActions Žádné
notDataActions Žádné

Přispěvatel pracovního prostoru virtualizace plochy

Role Přispěvatel pracovního prostoru virtualizace plochy umožňuje spravovat všechny aspekty pracovních prostorů. Pokud chcete získat informace o aplikacích přidaných do související skupiny aplikací, potřebujete také roli Čtenář skupiny aplikací virtualizace plochy .

Identifikace: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Typ akce Oprávnění
Akce
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Žádné
dataActions Žádné
notDataActions Žádné

Čtečka pracovního prostoru virtualizace plochy

Role Čtenář pracovního prostoru virtualizace plochy umožňuje uživatelům zobrazit všechny aspekty pracovního prostoru, ale neumožňuje změny.

Identifikace: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Typ akce Oprávnění
Akce
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Žádné
dataActions Žádné
notDataActions Žádné

Operátor uživatelské relace virtualizace plochy

Role Operátor uživatelské relace virtualizace plochy umožňuje odesílat zprávy, odpojovat relace a používat funkci odhlášení uživatelů od hostitele relace. Tato role ale neumožňuje správu fondu hostitelů nebo hostitelů relací, jako je odebrání hostitele relace, změna režimu vyprazdňování atd. Tato role může zobrazit přiřazení, ale nemůže upravovat členy. Tuto roli doporučujeme přiřadit konkrétním fondům hostitelů. Pokud tuto roli přiřadíte na úrovni skupiny prostředků, poskytuje oprávnění ke čtení pro všechny fondy hostitelů v rámci skupiny prostředků.

Id: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Typ akce Oprávnění
Akce
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Žádné
dataActions Žádné
notDataActions Žádné

Operátor hostitele relace virtualizace plochy

Role Operátor hostitele relace virtualizace plochy umožňuje zobrazení a odebrání hostitelů relací a změnu režimu vyprazdňování. Tato role nemůže přidávat hostitele relací pomocí Azure Portal, protože nemá oprávnění k zápisu pro objekty fondu hostitelů. Pokud je registrační token platný (vygenerovaný a nevypršela platnost) pro přidání hostitelů relací mimo Azure Portal, může tato role přidat hostitele relací do fondu hostitelů, pokud je přiřazená také role Přispěvatel virtuálních počítačů.

Identifikace: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Typ akce Oprávnění
Akce
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Žádné
dataActions Žádné
notDataActions Žádné

Přispěvatel power-on virtualizace desktopu

Role Přispěvatel Power On desktopové virtualizace umožňuje poskytovateli prostředků Azure Virtual Desktopu spouštět virtuální počítače.

Identifikace: 489581de-a3bd-480d-9518-53dea7416b33

Typ akce Oprávnění
Akce
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Žádné
dataActions Žádné
notDataActions Žádné

Přispěvatel vypnutí virtualizace plochy

Role Přispěvatel power on off virtualizace plochy umožňuje poskytovateli prostředků Azure Virtual Desktopu spouštět a zastavovat virtuální počítače.

Identifikace: 40c5ff49-9181-41f8-ae61-143b0e78555e

Typ akce Oprávnění
Akce
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Žádné
dataActions Žádné
notDataActions Žádné

Přispěvatel virtuálních počítačů virtualizace plochy

Role Přispěvatel virtuálních počítačů virtualizace plochy umožňuje poskytovateli prostředků služby Azure Virtual Desktop vytvářet, odstraňovat, aktualizovat, spouštět a zastavovat virtuální počítače.

ID: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Typ akce Oprávnění
Akce
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disky/read
  • Microsoft.Compute/disky/write
  • Microsoft.Compute/disky/delete
  • Microsoft.Compute/gallerys/read
  • Microsoft.Compute/gallerys/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Žádné
dataActions Žádné
notDataActions Žádné
  • Last updated on