Freigeben über


Integrierte Azure RBAC-Rollen für Azure Virtual Desktop

Azure Virtual Desktop verwendet die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure, um den Zugriff auf Ressourcen zu steuern. Es gibt viele integrierte Rollen für die Verwendung mit Azure Virtual Desktop, die eine Sammlung von Berechtigungen sind. Sie weisen Benutzern und Administratoren Rollen zu, und diese Rollen erteilen die Berechtigung, bestimmte Aufgaben auszuführen. Weitere Informationen zu Azure RBAC finden Sie unter Was ist Azure RBAC?

Die standardmäßigen integrierten Rollen für Azure sind "Besitzer", "Mitwirkender" und " Leser". Azure Virtual Desktop verfügt jedoch über mehr Rollen, mit denen Sie Verwaltungsrollen für Hostpools, Anwendungsgruppen und Arbeitsbereiche trennen können. Durch diese Trennung können Sie administrative Aufgaben präziser steuern. Diese Rollen werden in Übereinstimmung mit den Standardrollen und der Methodik der geringsten Rechte von Azure benannt. Azure Virtual Desktop verfügt nicht über eine bestimmte Rolle "Besitzer", aber Sie können die allgemeine Rolle "Besitzer" für die Dienstobjekte verwenden.

Die integrierten Rollen für Azure Virtual Desktop und die Berechtigungen für die einzelnen Rollen werden in diesem Artikel ausführlich erläutert. Sie können jede Rolle dem gewünschten Bereich zuweisen. Für einige Azure Desktop-Features gelten bestimmte Anforderungen für den zugewiesenen Bereich, die Sie in der Dokumentation für das entsprechende Feature finden. Weitere Informationen finden Sie unter Grundlegendes zu Azure-Rollendefinitionen und Verstehen des Bereichs für Azure RBAC.

Eine vollständige Liste aller verfügbaren integrierten Rollen finden Sie unter Integrierte Azure-Rollen.

DesktopVirtualisierungsmitwirkender

Die Rolle "Mitwirkender an der Desktopvirtualisierung" ermöglicht die Verwaltung aller Azure Virtual Desktop-Ressourcen mit Ausnahme der Benutzer- oder Gruppenzuweisung. Wenn Sie Benutzerkonten oder Benutzergruppen Ressourcen zuweisen möchten, benötigen Sie auch die Rolle Benutzerzugriffsadministrator . Die Rolle "Mitwirkender an der Desktopvirtualisierung" gewährt Benutzern keinen Zugriff auf Computeressourcen.

ID: 082f0a83-3be5-4ba1-904c-961cca79b387

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

DesktopVirtualisierungsleser

Die Rolle Desktopvirtualisierungsleser ermöglicht das Anzeigen aller Ihrer Azure Virtual Desktop-Ressourcen, lässt jedoch keine Änderungen zu.

ID: 49a72310-ab8d-41df-bbb0-79b649203868

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Desktop Virtualization User

Mit der Rolle Desktop Virtualization User (Desktopvirtualisierungsbenutzer) können Benutzer eine Anwendung auf einem Sitzungshost aus einer Anwendungsgruppe als Nicht-Administrator verwenden.

ID: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Aktionstyp Berechtigungen
Aktionen Keine
notActions Keine
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Keine

Desktop Virtualization Host Pool Contributor

Die Rolle Desktop Virtualization Host Pool Contributor ermöglicht die Verwaltung aller Aspekte eines Hostpools. Sie benötigen auch die Rolle Mitwirkender für virtuelle Computer, um virtuelle Computer zu erstellen, und die Rollen Desktop Virtualization Application Group Contributor (Mitwirkender an der Desktopvirtualisierung ) und Desktop Virtualization Workspace Contributor (Mitwirkender an Desktopvirtualisierung ), um Azure Virtual Desktop über das Portal bereitzustellen, oder Sie können die Rolle Mitwirkender an der Desktopvirtualisierung verwenden.

ID: e307426c-f9b6-4e81-87de-d99efb3c32bc

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Desktop Virtualization Host Pool Reader

Die Rolle Hostpoolleser für Desktopvirtualisierung ermöglicht das Anzeigen aller Aspekte eines Hostpools, lässt jedoch keine Änderungen zu.

ID: ceadfde2-b300-400a-ab7b-6143895aa822

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Desktop Virtualization Application Group Contributor

Die Rolle Mitwirkender der DesktopVirtualisierungsanwendungsgruppe ermöglicht die Verwaltung aller Aspekte einer Anwendungsgruppe mit Ausnahme der Benutzer- oder Gruppenzuweisung. Wenn Sie Auch Benutzerkonten oder Benutzergruppen Anwendungsgruppen zuweisen möchten, benötigen Sie auch die Rolle Benutzerzugriffsadministrator .

ID: 86240b0e-9422-4c43-887b-b61143f32ba8

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Desktop Virtualization Application Group Reader

Die Rolle Desktop Virtualization Application Group Reader ermöglicht das Anzeigen aller Aspekte einer Anwendungsgruppe, lässt jedoch keine Änderungen zu.

ID: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Desktop Virtualization Workspace Contributor

Die Rolle Desktop Virtualization Workspace Contributor ermöglicht die Verwaltung aller Aspekte von Arbeitsbereichen. Um Informationen zu Anwendungen abzurufen, die einer verwandten Anwendungsgruppe hinzugefügt wurden, benötigen Sie auch die Rolle Desktop Virtualization Application Group Reader .

ID: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Desktop Virtualization Workspace Reader

Mit der Rolle Desktop Virtualization Workspace Reader können Benutzer alle Aspekte eines Arbeitsbereichs anzeigen, aber keine Änderungen zulassen.

ID: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Desktop Virtualization User Session Operator

Die Rolle Benutzersitzungsoperator für DesktopVirtualisierung ermöglicht das Senden von Nachrichten, das Trennen von Sitzungen und die Verwendung der Abmeldefunktion zum Abmelden von Benutzern von einem Sitzungshost. Diese Rolle lässt jedoch keine Hostpool- oder Sitzungshostverwaltung wie das Entfernen eines Sitzungshosts, das Ändern des Ausgleichsmodus usw. zu. Diese Rolle kann Zuweisungen sehen, aber keine Mitglieder ändern. Es wird empfohlen, diese Rolle bestimmten Hostpools zuzuweisen. Wenn Sie diese Rolle auf Ressourcengruppenebene zuweisen, bietet sie leseberechtigungen für alle Hostpools unter einer Ressourcengruppe.

ID: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Desktop Virtualization-Sitzungshostoperator

Die Rolle Desktop Virtualization-Sitzungshostoperator ermöglicht das Anzeigen und Entfernen von Sitzungshosts sowie das Ändern des Ausgleichsmodus. Diese Rolle kann keine Sitzungshosts mithilfe des Azure-Portal hinzufügen, da sie keine Schreibberechtigung für Hostpoolobjekte besitzt. Wenn das Registrierungstoken gültig (generiert und nicht abgelaufen) ist, kann diese Rolle dem Hostpool Sitzungshosts hinzufügen, wenn das Registrierungstoken außerhalb des Azure-Portal hinzugefügt wird, wenn die Rolle Mitwirkender für virtuelle Computer ebenfalls zugewiesen ist.

ID: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Desktop Virtualization Power On Contributor

Die Rolle Desktop Virtualization Power On-Mitwirkender wird verwendet, um dem Azure Virtual Desktop-Ressourcenanbieter das Starten virtueller Computer zu ermöglichen.

Id: 489581de-a3bd-480d-9518-53dea7416b33

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Keine
dataActions Keine
notDataActions Keine

Desktop Virtualization Power On Off-Mitwirkender

Die Rolle "Desktop Virtualization Power On Off Contributor" wird verwendet, um dem Azure Virtual Desktop-Ressourcenanbieter das Starten und Beenden von virtuellen Computern zu ermöglichen.

ID: 40c5ff49-9181-41f8-ae61-143b0e78555e

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Keine
dataActions Keine
notDataActions Keine

Mitwirkender an virtuellen Desktopvirtualisierungscomputern

Die Rolle Mitwirkender an virtuellen Desktopvirtualisierungscomputern wird verwendet, um dem Azure Virtual Desktop-Ressourcenanbieter das Erstellen, Löschen, Aktualisieren, Starten und Beenden virtueller Computer zu ermöglichen.

ID: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Keine
dataActions Keine
notDataActions Keine