Partager via

Rôles RBAC Azure intégrés pour Azure Virtual Desktop

Azure Virtual Desktop utilise le contrôle d’accès en fonction du rôle (RBAC) Azure pour contrôler l’accès aux ressources. Il existe de nombreux rôles intégrés à utiliser avec Azure Virtual Desktop qui sont une collection d’autorisations. Vous attribuez des rôles aux utilisateurs et aux administrateurs, et ces rôles donnent l’autorisation d’effectuer certaines tâches. Pour en savoir plus sur Azure RBAC, consultez Qu’est-ce qu’Azure RBAC ?

Les rôles intégrés standard pour Azure sont Propriétaire, Contributeur et Lecteur. Toutefois, Azure Virtual Desktop a davantage de rôles qui vous permettent de séparer les rôles de gestion pour les pools d’hôtes, les groupes d’applications et les espaces de travail. Cette séparation vous permet d’avoir un contrôle plus précis sur les tâches d’administration. Ces rôles sont nommés conformément aux rôles standard d’Azure et à la méthodologie des privilèges minimum. Azure Virtual Desktop n’a pas de rôle propriétaire spécifique, mais vous pouvez utiliser le rôle propriétaire général pour les objets de service.

Les rôles intégrés pour Azure Virtual Desktop et les autorisations pour chacun d’eux sont détaillés dans cet article. Vous pouvez attribuer chaque rôle à l’étendue dont vous avez besoin. Certaines fonctionnalités d’Azure Desktop ont des exigences spécifiques pour l’étendue attribuée, que vous pouvez trouver dans la documentation de la fonctionnalité appropriée. Pour plus d’informations, consultez Comprendre les définitions de rôle Azure et Comprendre l’étendue pour Azure RBAC.

Pour obtenir la liste complète de tous les rôles intégrés disponibles, consultez Rôles intégrés Azure.

Contributeur de virtualisation de bureau

Le rôle Contributeur à la virtualisation de bureau permet de gérer toutes vos ressources Azure Virtual Desktop, à l’exception de l’affectation d’utilisateurs ou de groupes. Si vous souhaitez affecter des comptes d’utilisateurs ou des groupes d’utilisateurs à des ressources, vous avez également besoin du rôle Administrateur de l’accès utilisateur . Le rôle Contributeur à la virtualisation de bureau n’accorde pas aux utilisateurs l’accès aux ressources de calcul.

ID : 082f0a83-3be5-4ba1-904c-961cca79b387

Type d’action Autorisations
actions
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Aucun
dataActions Aucun
notDataActions Aucun

Lecteur de virtualisation de bureau

Le rôle Lecteur de virtualisation de bureau permet d’afficher toutes vos ressources Azure Virtual Desktop, mais n’autorise pas les modifications.

ID : 49a72310-ab8d-41df-bbb0-79b649203868

Type d’action Autorisations
actions
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Aucun
dataActions Aucun
notDataActions Aucun

Utilisateur de virtualisation de bureau

Le rôle Utilisateur de virtualisation de bureau permet aux utilisateurs d’utiliser une application sur un hôte de session à partir d’un groupe d’applications en tant qu’utilisateur non administratif.

ID : 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Type d’action Autorisations
actions Aucun
notActions Aucun
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Aucun

Contributeur du pool d’hôtes de virtualisation de bureau

Le rôle Contributeur du pool d’hôtes de virtualisation de bureau permet de gérer tous les aspects d’un pool d’hôtes. Vous avez également besoin du rôle Contributeur de machine virtuelle pour créer des machines virtuelles et des rôles Contributeur du groupe d’applications de virtualisation de bureau et Contributeur d’espace de travail de virtualisation de bureau pour déployer Azure Virtual Desktop à l’aide du portail, ou vous pouvez utiliser le rôle Contributeur de virtualisation de bureau.

ID : e307426c-f9b6-4e81-87de-d99efb3c32bc

Type d’action Autorisations
actions
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Aucun
dataActions Aucun
notDataActions Aucun

Lecteur du pool d’hôtes de virtualisation de bureau

Le rôle Lecteur du pool d’hôtes de virtualisation de bureau permet d’afficher tous les aspects d’un pool d’hôtes, mais n’autorise pas les modifications.

ID : ceadfde2-b300-400a-ab7b-6143895aa822

Type d’action Autorisations
actions
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Aucun
dataActions Aucun
notDataActions Aucun

Contributeur du groupe d’applications de virtualisation de bureau

Le rôle Contributeur du groupe d’applications de virtualisation de bureau permet de gérer tous les aspects d’un groupe d’applications, à l’exception de l’affectation d’un utilisateur ou d’un groupe. Si vous souhaitez également affecter des comptes d’utilisateurs ou des groupes d’utilisateurs à des groupes d’applications, vous avez également besoin du rôle Administrateur de l’accès utilisateur .

ID : 86240b0e-9422-4c43-887b-b61143f32ba8

Type d’action Autorisations
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Aucun
dataActions Aucun
notDataActions Aucun

Lecteur du groupe d’applications de virtualisation de bureau

Le rôle Lecteur du groupe d’applications de virtualisation de bureau permet d’afficher tous les aspects d’un groupe d’applications, mais n’autorise pas les modifications.

ID : aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Type d’action Autorisations
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Aucun
dataActions Aucun
notDataActions Aucun

Contributeur de l’espace de travail de virtualisation de bureau

Le rôle Contributeur de l’espace de travail de virtualisation de bureau permet de gérer tous les aspects des espaces de travail. Pour obtenir des informations sur les applications ajoutées à un groupe d’applications associé, vous avez également besoin du rôle Lecteur du groupe d’applications de virtualisation de bureau.

ID : 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Type d’action Autorisations
actions
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Aucun
dataActions Aucun
notDataActions Aucun

Lecteur de l’espace de travail de virtualisation de bureau

Le rôle Lecteur de l’espace de travail de virtualisation de bureau permet aux utilisateurs d’afficher tous les aspects d’un espace de travail, mais n’autorise pas les modifications.

ID : 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Type d’action Autorisations
actions
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Aucun
dataActions Aucun
notDataActions Aucun

Opérateur de session utilisateur de virtualisation de bureau

Le rôle Opérateur de session utilisateur de virtualisation de bureau permet d’envoyer des messages, de déconnecter des sessions et d’utiliser la fonction de déconnexion pour déconnecter les utilisateurs d’un hôte de session. Toutefois, ce rôle n’autorise pas la gestion du pool d’hôtes ou de l’hôte de session, comme la suppression d’un hôte de session, la modification du mode de drainage, etc. Ce rôle peut voir les affectations, mais ne peut pas modifier les membres. Nous vous recommandons d’attribuer ce rôle à des pools d’hôtes spécifiques. Si vous attribuez ce rôle au niveau d’un groupe de ressources, il fournit l’autorisation de lecture sur tous les pools d’hôtes sous un groupe de ressources.

ID : ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Type d’action Autorisations
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Aucun
dataActions Aucun
notDataActions Aucun

Opérateur hôte de session de virtualisation de bureau

Le rôle Opérateur d’hôte de session de virtualisation de bureau permet d’afficher et de supprimer les hôtes de session et de changer le mode de drainage. Ce rôle ne peut pas ajouter d’hôtes de session à l’aide du Portail Azure, car il n’a pas d’autorisation d’écriture pour les objets du pool d’hôtes. Pour ajouter des hôtes de session en dehors du Portail Azure, si le jeton d’inscription est valide (généré et n’a pas expiré), ce rôle peut ajouter des hôtes de session au pool d’hôtes si le rôle Contributeur de machine virtuelle est également attribué.

ID : 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Type d’action Autorisations
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Aucun
dataActions Aucun
notDataActions Aucun

Contributeur de mise sous tension de la virtualisation de bureau

Le rôle Contributeur de mise sous tension de virtualisation de bureau est utilisé pour permettre au fournisseur de ressources Azure Virtual Desktop de démarrer des machines virtuelles.

ID : 489581de-a3bd-480d-9518-53dea7416b33

Type d’action Autorisations
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Aucun
dataActions Aucun
notDataActions Aucun

Contributeur de mise hors tension de la virtualisation de bureau

Le rôle Contributeur de mise hors tension de la virtualisation de bureau est utilisé pour permettre au fournisseur de ressources Azure Virtual Desktop de démarrer et d’arrêter des machines virtuelles.

ID : 40c5ff49-9181-41f8-ae61-143b0e78555e

Type d’action Autorisations
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Aucun
dataActions Aucun
notDataActions Aucun

Contributeur de machine virtuelle de virtualisation de bureau

Le rôle Contributeur de machine virtuelle de virtualisation de bureau est utilisé pour permettre au fournisseur de ressources Azure Virtual Desktop de créer, supprimer, mettre à jour, démarrer et arrêter des machines virtuelles.

ID : a959dbd1-f747-45e3-8ba6-dd80f235f97c

Type d’action Autorisations
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Aucun
dataActions Aucun
notDataActions Aucun