Předdefinované role Azure RBAC pro Azure Virtual Desktop

  • Článek

Azure Virtual Desktop používá řízení přístupu na základě role (RBAC) Azure k řízení přístupu k prostředkům. Existuje mnoho předdefinovaných rolí pro použití s Azure Virtual Desktopem, které jsou kolekcí oprávnění. Role přiřadíte uživatelům a správcům a těmto rolím udělíte oprávnění k provádění určitých úkolů. Další informace o Azure RBAC najdete v tématu Co je Azure RBAC?.

Standardní předdefinované role pro Azure jsou Vlastník, Přispěvatel a Čtenář. Azure Virtual Desktop má ale více rolí, které umožňují oddělit role správy pro fondy hostitelů, skupiny aplikací a pracovní prostory. Toto oddělení umožňuje podrobnější kontrolu nad úlohami správy. Tyto role jsou pojmenované v souladu se standardními rolemi Azure a metodologií s nejnižšími oprávněními. Azure Virtual Desktop nemá konkrétní roli vlastníka, ale pro objekty služby můžete použít obecnou roli Vlastník.

V tomto článku jsou podrobně popsané předdefinované role pro Azure Virtual Desktop a oprávnění pro každou z nich. Každou roli můžete přiřadit k požadovanému oboru. Některé funkce Azure Desktopu mají specifické požadavky na přiřazený obor, který najdete v dokumentaci k příslušné funkci. Další informace najdete v tématu Vysvětlení definic rolí Azure a vysvětlení rozsahu pro Azure RBAC.

Přispěvatel virtualizace plochy

Role Přispěvatel virtualizace plochy umožňuje spravovat všechny prostředky služby Azure Virtual Desktop. K přiřazení skupin aplikací k uživatelským účtům nebo skupinám uživatelů potřebujete také roli User Access Správa istrator. Tato role neuděluje uživatelům přístup k výpočetním prostředkům.

Typ akce Oprávnění
akce
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nic
dataActions Nic
notDataActions Nic

Čtečka virtualizace plochy

Role Čtenář virtualizace plochy umožňuje zobrazit všechny prostředky služby Azure Virtual Desktop, ale neumožňuje změny.

Typ akce Oprávnění
akce
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft. Přehledy/ upozorněníRules/read
  • Microsoft.Support/*
notActions Nic
dataActions Nic
notDataActions Nic

Uživatel virtualizace plochy

Role uživatel virtualizace plochy umožňuje uživatelům používat aplikaci na hostiteli relace ze skupiny aplikací jako uživatele, který není správcem.

Typ akce Oprávnění
akce Nic
notActions Nic
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Nic

Přispěvatel fondu hostitelů virtualizace plochy

Role Přispěvatel fondu hostitelů virtualizace plochy umožňuje spravovat všechny aspekty fondu hostitelů. K vytvoření virtuálních počítačů a role Přispěvatel aplikací virtualizace plochy a Přispěvatel pracovních prostorů virtualizace plochy potřebujete také roli Přispěvatel virtuálních počítačů, nebo můžete použít roli Přispěvatel virtualizace plochy.

Typ akce Oprávnění
akce
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nic
dataActions Nic
notDataActions Nic

Čtečka fondu hostitelů virtualizace plochy

Role Čtenář fondu hostitelů virtualizace plochy umožňuje zobrazit všechny aspekty fondu hostitelů, ale neumožňuje změny.

Typ akce Oprávnění
akce
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft. Přehledy/ upozorněníRules/read
  • Microsoft.Support/*
notActions Nic
dataActions Nic
notDataActions Nic

Přispěvatel skupiny aplikací virtualizace plochy

Role Přispěvatel skupiny aplikací virtualizace plochy umožňuje spravovat všechny aspekty skupiny aplikací. Pokud chcete také přiřadit uživatelské účty nebo skupiny uživatelů ke skupinám aplikací, potřebujete také roli User Access Správa istrator.

Typ akce Oprávnění
akce
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nic
dataActions Nic
notDataActions Nic

Čtečka skupin aplikací virtualizace plochy

Role Čtenář skupiny aplikací virtualizace plochy umožňuje zobrazit všechny aspekty skupiny aplikací, ale neumožňuje změny.

Typ akce Oprávnění
akce
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft. Přehledy/ upozorněníRules/read
  • Microsoft.Support/*
notActions Nic
dataActions Nic
notDataActions Nic

Přispěvatel pracovního prostoru virtualizace plochy

Role Přispěvatel pracovního prostoru virtualizace plochy umožňuje spravovat všechny aspekty pracovních prostorů. Pokud chcete získat informace o aplikacích přidaných do související skupiny aplikací, potřebujete také roli Čtenář skupiny aplikací virtualizace plochy.

Typ akce Oprávnění
akce
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nic
dataActions Nic
notDataActions Nic

Čtečka pracovního prostoru virtualizace plochy

Role Čtenář pracovního prostoru virtualizace plochy umožňuje uživatelům zobrazit všechny aspekty pracovního prostoru, ale neumožňuje změny.

Typ akce Oprávnění
akce
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft. Přehledy/ upozorněníRules/read
  • Microsoft.Support/*
notActions Nic
dataActions Nic
notDataActions Nic

Operátor uživatelské relace virtualizace plochy

Role Operátor uživatelské relace virtualizace plochy umožňuje odesílání zpráv, odpojení relací a použití funkce logff k odhlášení uživatelů z hostitele relace. Tato role ale neumožňuje správu hostitelů nebo hostitelů relací, jako je odebrání hostitele relace, změna režimu vyprázdnění atd. Tato role může zobrazit přiřazení, ale nemůže upravovat členy. Tuto roli doporučujeme přiřadit konkrétním fondům hostitelů. Pokud tuto roli přiřadíte na úrovni skupiny prostředků, poskytne oprávnění ke čtení pro všechny fondy hostitelů v rámci skupiny prostředků.

Typ akce Oprávnění
akce
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nic
dataActions Nic
notDataActions Nic

Operátor hostitele relace virtualizace plochy

Role Operátor hostitele relace virtualizace plochy umožňuje zobrazovat a odebírat hostitele relací a měnit režim vyprázdnění. Tato role nemůže přidávat hostitele relací pomocí webu Azure Portal, protože nemá oprávnění k zápisu pro objekty fondu hostitelů. Pokud chcete přidat hostitele relací mimo azure Portal, pokud je registrační token platný (vygenerovaný a nevypršela jeho platnost), může tato role přidat hostitele relací do fondu hostitelů, pokud je přiřazená také role Přispěvatel virtuálních počítačů.

Typ akce Oprávnění
akce
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nic
dataActions Nic
notDataActions Nic

Power On Pro desktopovou virtualizaci

Role Přispěvatel Power On virtualizace plochy slouží k povolení spouštění virtuálních počítačů poskytovatelem prostředků Služby Azure Virtual Desktop.

Typ akce Oprávnění
akce
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Nic
dataActions Nic
notDataActions Nic

Přispěvatel zapnutí zapnutí desktopové virtualizace

Role Přispěvatel power on-off virtualizace desktopové plochy slouží k povolení spuštění a zastavení virtuálních počítačů poskytovatelem prostředků služby Azure Virtual Desktop.

Typ akce Oprávnění
akce
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft. Přehledy/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Nic
dataActions Nic
notDataActions Nic

Přispěvatel virtuálních počítačů virtualizace plochy

Role Přispěvatel virtuálních počítačů virtualizace plochy slouží k tomu, aby poskytovatel prostředků služby Azure Virtual Desktop mohl vytvářet, odstraňovat, aktualizovat, spouštět a zastavovat virtuální počítače.

Typ akce Oprávnění
akce
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Nic
dataActions Nic
notDataActions Žádné