Control de acceso basado en rol (RBAC) para Azure Virtual Desktop
Azure Virtual Desktop usa controles de acceso basado en roles (RBAC) de Azure para asignar roles a usuarios y administradores. Estos roles proporcionan permisos de administrador para llevar a cabo determinadas tareas.
Los roles integrados estándar para Azure son:
- Propietario
- Colaborador
- Lector
Sin embargo, Azure Virtual Desktop tiene roles adicionales que le permiten separar roles de administración para grupos de hosts, grupos de aplicaciones y áreas de trabajo.
Estos roles se denominan conforme a los roles estándar de Azure y a la metodología de privilegios mínimos.
Azure Virtual Desktop no tiene un rol Propietario específico. Sin embargo, puede usar un rol Propietario estándar para los objetos de servicio.
A continuación se muestran los roles de Azure Virtual Desktop:
- Rol de colaborador de virtualización de escritorio: le permite administrar todos los aspectos de la implementación. Sin embargo, no le concede acceso a los recursos de proceso. También necesitará el rol Administrador de acceso de usuario para publicar grupos de aplicaciones para usuarios o grupos de usuarios.
- Rol de lector de virtualización de escritorio: le permite ver todo en la implementación, pero no le permite realizar ningún cambio.
- Rol de colaborador del grupo de hosts: le permite administrar todos los aspectos de los grupos de hosts, incluido el acceso a los recursos. Para crear máquinas virtuales, necesitará un rol de colaborador adicional, el rol Colaborador de la máquina virtual. Necesitará roles de colaborador de AppGroup y del área de trabajo para crear un grupo de hosts mediante el portal o puede usar el rol Colaborador de virtualización del escritorio.
- Rol de lector del grupo de hosts: le permite ver todo lo que hay en el grupo de hosts, pero no le permite hacer ningún cambio.
- Rol de colaborador del grupo de aplicaciones: le permite administrar todos los aspectos de los grupos de aplicaciones. Necesitará el rol Administrador de acceso de usuario para publicar grupos de aplicaciones para usuarios o grupos de usuarios.
- Rol de lector del grupo de aplicaciones: le permite ver todo el grupo de aplicaciones y no le permitirá realizar ningún cambio.
- Rol de colaborador del área de trabajo: le permite administrar todos los aspectos de las áreas de trabajo. Para más información sobre las aplicaciones agregadas a los grupos de aplicaciones, también debe tener asignado el rol Lector del grupo de aplicaciones.
- Rol de lector del área de trabajo: le permite ver todo el contenido del área de trabajo, pero no le permitirá realizar ningún cambio.
- Rol de operador de sesión de usuario: le permite enviar mensajes, desconectar sesiones y usar la función "logoff" para cerrar sesiones del host de sesión. Sin embargo, este rol no le permite realizar operaciones de administración del host de sesión como quitar el host de sesión, cambiar el modo de purga, etc. Con este rol puede ver las asignaciones, pero no puede modificar los administradores. Se recomienda asignar este rol a grupos de hosts específicos. Si concede este permiso en un nivel de grupo de recursos, el administrador tendrá permiso de lectura en todos los grupos de hosts de un grupo de recursos.
- Rol de colaborador del host de sesión: le permite ver y quitar hosts de sesión y cambiar el modo de purga. No pueden agregar hosts de sesión mediante Azure Portal porque no tienen permiso de escritura en los objetos del grupo de hosts. Si el token de registro es válido (es decir, se ha generado y no ha expirado), puede usar este rol para agregar hosts de sesión al grupo de hosts fuera de Azure Portal si el administrador tiene permisos de proceso mediante el rol Colaborador de la máquina virtual.