Integrierte Azure RBAC-Rollen für Azure Virtual Desktop
Azure Virtual Desktop verwendet die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure, um den Zugriff auf Ressourcen zu steuern. Es gibt zahlreiche integrierte Rollen für die Verwendung in Azure Virtual Desktop, bei denen es sich um eine Sammlung von Berechtigungen handelt. Sie weisen Benutzern und Administratoren Rollen zu, und diese Rollen erteilen die Berechtigung zum Ausführen bestimmter Aufgaben. Weitere Informationen zu Azure RBAC finden Sie im Abschnitt Was ist Azure RBAC?.
Die standardmäßigen integrierten Rollen für Azure sind Besitzer, Mitwirkender und Leser. Azure Virtual Desktop verfügt jedoch über zusätzliche Rollen, mit denen Sie Verwaltungsrollen für Hostpools, Anwendungsgruppen und Arbeitsbereiche trennen können. Diese Trennung ermöglicht Ihnen eine genauere Steuerung der administrativen Aufgaben. Diese Rollen sind gemäß den Azure-Standardrollen und der Methodik minimaler Berechtigungen benannt. Azure Virtual Desktop verfügt nicht über eine bestimmte Besitzerrolle, Sie können jedoch die allgemeine Rolle „Besitzer“ für die Dienstobjekte verwenden.
Die integrierten Rollen für Azure Virtual Desktop und die Berechtigungen für die einzelnen Rollen werden in diesem Artikel ausführlich beschrieben. Sie können jede Rolle dem benötigten Bereich zuweisen. Einige Azure Desktop-Features weisen spezifische Anforderungen für den zugewiesenen Bereich auf. Sie finden diese in der Dokumentation für das jeweilige Feature. Weitere Informationen finden Sie unter Grundlegendes zu Azure-Rollendefinitionen und Grundlegendes zum Bereich von Azure RBAC.
Desktopvirtualisierungsmitwirkender
Die Rolle „Mitwirkender der Desktopvirtualisierung“ ermöglicht die Verwaltung aller Azure Virtual Desktop-Ressourcen. Außerdem benötigen Sie die Rolle Benutzerzugriffsadministrator, um Benutzer*innen oder Benutzergruppen Anwendungsgruppen zuzuweisen. Diese Rolle gewährt Benutzer*innen jedoch keinen Zugriff auf Computeressourcen.
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Desktopvirtualisierungsleser
Die Rolle „Leseberechtigter der Desktopvirtualisierung“ ermöglicht das Anzeigen aller Azure Virtual Desktop-Ressourcen, jedoch keine Änderungen.
ID: 49a72310-ab8d-41df-bbb0-79b649203868
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Desktopvirtualisierungsbenutzer
Mit der Rolle „Desktopvirtualisierungsbenutzer“ können Benutzer*innen eine Anwendung auf einem Sitzungshost über eine Anwendungsgruppe als Nichtadministratorbenutzer*innen verwenden.
ID: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63
Aktionstyp | Berechtigungen |
---|---|
Aktionen | Keine |
notActions | Keine |
dataActions |
|
notDataActions | Keine |
Hostpoolmitwirkender für die Desktopvirtualisierung
Mit der Rolle „Mitwirkender des Hostpools für Desktopvirtualisierung“ können alle Aspekte eines Hostpools verwaltet werden. Für die Erstellung von VMs benötigen Sie außerdem die Rolle Mitwirkender für VM und für die Bereitstellung von Azure Virtual Desktop über das Portal die Rollen Mitwirkender der Anwendungsgruppe für Desktopvirtualisierung und Mitwirkender des Arbeitsbereichs für Desktopvirtualisierung. Sie können aber auch die Rolle Mitwirkender der Desktopvirtualisierung verwenden.
ID: e307426c-f9b6-4e81-87de-d99efb3c32bc
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Hostpoolleser für die Desktopvirtualisierung
Die Rolle „Leser des Hostpools für Desktopvirtualisierung“ ermöglicht das Anzeigen aller Aspekte eines Hostpools, jedoch keine Änderungen.
ID: ceadfde2-b300-400a-ab7b-6143895aa822
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Anwendungsgruppenmitwirkender für die Desktopvirtualisierung
Mit der Rolle „Mitwirkender der Anwendungsgruppe für Desktopvirtualisierung“ können alle Aspekte von Anwendungsgruppen verwaltet werden. Wenn Sie Benutzerkonten oder Benutzergruppen Anwendungsgruppen zuweisen möchten, benötigen Sie außerdem die Rolle Benutzerzugriffsadministrator.
ID: 86240b0e-9422-4c43-887b-b61143f32ba8
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Anwendungsgruppenleser für die Desktopvirtualisierung
Die Rolle „Leser der Anwendungsgruppe für Desktopvirtualisierung“ ermöglicht das Anzeigen aller Aspekte einer Anwendungsgruppe, jedoch keine Änderungen.
ID: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Arbeitsbereichsmitwirkender für die Desktopvirtualisierung
Mit der Rolle „Mitwirkender des Arbeitsbereichs für Desktopvirtualisierung“ können alle Aspekte von Arbeitsbereichen verwaltet werden. Um Informationen über Anwendungen zu erhalten, die einer zugehörigen Anwendungsgruppe hinzugefügt wurden, benötigen Sie außerdem die Rolle Leser der Anwendungsgruppe für Desktopvirtualisierung.
ID: 21efdde3-836f-432b-bf3d-3e8e734d4b2b
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Arbeitsbereichsleser für die Desktopvirtualisierung
Die Rolle „Leser des Arbeitsbereichs für Desktopvirtualisierung“ ermöglicht Benutzer*innen das Anzeigen aller Aspekte eines Arbeitsbereichs, jedoch keine Änderungen.
ID: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Benutzersitzungsoperator für die Desktopvirtualisierung
Mit der Rolle „Operator der Benutzersitzung für Desktopvirtualisierung“ können Benutzer*innen Nachrichten senden, Sitzungen trennen und die Funktion Abmelden verwenden, um Benutzer*innen beim Sitzungshost abzumelden. Mit dieser Rolle können Sie jedoch keine Aktionen zur Hostpool- oder Sitzungshostverwaltung wie Entfernen eines Sitzungshosts, Ändern des Ausgleichsmodus usw. durchführen. Diese Rolle kann Zuweisungen anzeigen, aber keine Mitglieder ändern. Es wird empfohlen, diese Rolle bestimmten Hostpools zuzuweisen. Wenn Sie diese Rolle auf Ressourcengruppenebene zuweisen, wird die Leseberechtigung für alle Hostpools unter einer Ressourcengruppe erteilt.
ID: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Sitzungshostoperator für die Desktopvirtualisierung
Mit der Rolle „Operator des Sitzungshosts für Desktopvirtualisierung“ können Benutzer*innen Sitzungshosts anzeigen und entfernen sowie den Ausgleichsmodus ändern. Diese Rolle kann keine Sitzungshosts mithilfe des Azure-Portals hinzufügen, da sie nicht über die Schreibberechtigung für Hostpoolobjekte verfügt. Beim Hinzufügen von Sitzungshosts außerhalb des Azure-Portals gilt Folgendes: Wenn das Registrierungstoken gültig ist (erzeugt und nicht abgelaufen), kann diese Rolle dem Hostpool Sitzungshosts hinzufügen, wenn zudem die Rolle Mitwirkender für VM zugewiesen wurde.
ID: 2ad6aaab-ead9-4eaa-8ac5-da422f562408
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Desktop Virtualization Power On-Mitwirkender
Mithilfe der Rolle „Power On-Mitwirkender für Desktopvirtualisierung“ kann der Azure Virtual Desktop-Ressourcenanbieter VMs starten.
ID: 489581de-a3bd-480d-9518-53dea7416b33
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Desktop Virtualization Power Off-Mitwirkender
Mithilfe der Rolle „Power On/Off-Mitwirkender für Desktopvirtualisierung“ kann der Azure Virtual Desktop-Ressourcenanbieter VMs starten und beenden.
ID: 40c5ff49-9181-41f8-ae61-143b0e78555e
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |
Mitwirkender für Desktop Virtualization-VMs
Mithilfe der Rolle „Mitwirkender für Desktopvirtualisierungs-VM“ kann der Azure Virtual Desktop-Ressourcenanbieter VMs erstellen, löschen, aktualisieren, starten und beenden.
ID: a959dbd1-f747-45e3-8ba6-dd80f235f97c
Aktionstyp | Berechtigungen |
---|---|
Aktionen |
|
notActions | Keine |
dataActions | Keine |
notDataActions | Keine |