Rôles RBAC Azure intégrés pour Azure Virtual Desktop

  • Article

Azure Virtual Desktop utilise le contrôle d’accès en fonction du rôle (RBAC) Azure pour contrôler l’accès aux ressources. Il existe plusieurs rôles intégrés à utiliser avec Azure Virtual Desktop, qui constituent une collection d’autorisations. Vous attribuez des rôles aux utilisateurs et aux administrateurs, et ces rôles accordent l’autorisation d’effectuer certaines tâches. Pour en savoir plus sur Azure RBAC, consultez Qu’est-ce que le contrôle d’accès en fonction du rôle (RBAC) Azure ?.

Les rôles intégrés standard pour Azure sont Propriétaire, Contributeur et Lecteur. Toutefois, Azure Virtual Desktop intègre d’autres rôles qui vous permettent de séparer les rôles de gestion pour les pools d’hôtes, les groupes d’applications et les espaces de travail. Cette séparation vous permet d’exercer un contrôle plus précis sur les tâches d’administration. Ces rôles sont nommés conformément aux rôles standard et à la méthodologie du privilège minimum d’Azure. Azure Virtual Desktop ne dispose pas d’un rôle Propriétaire spécifique, mais vous pouvez utiliser le rôle Propriétaire général pour les objets de service.

Les rôles intégrés pour Azure Virtual Desktop et les autorisations pour chacun d’eux sont détaillés dans cet article. Vous pouvez attribuer chaque rôle à l’étendue dont vous avez besoin. Certaines fonctionnalités Azure Desktop ont des exigences spécifiques pour l’étendue attribuée que vous trouverez dans la documentation de la fonctionnalité pertinente. Pour obtenir plus d’informations, consultez Comprendre les définitions de rôle Azure et Comprendre l’étendue d’Azure RBAC.

Contributeur de virtualisation des services Bureau

Le rôle Contributeur de virtualisation des services Bureau vous permet de gérer toutes vos ressources Azure Virtual Desktop. Vous aurez également besoin du rôle Administrateur de l’accès utilisateur pour attribuer des groupes d’applications à des comptes d’utilisateur ou des groupes d’utilisateurs. Ce rôle n’accorde pas aux utilisateurs l’accès aux ressources de calcul.

Type d'action Autorisations
actions
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lecteur de virtualisation des services Bureau

Le rôle Lecteur de virtualisation des services Bureau vous permet d’afficher toutes vos ressources Azure Virtual Desktop, mais n’autorise pas les modifications.

Type d'action Autorisations
actions
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Utilisateur de virtualisation de bureau

Le rôle Utilisateur de virtualisation de bureau permet aux utilisateurs d’utiliser une application sur un hôte de la session à partir d’un groupe d’applications en tant qu’utilisateur non administratif.

Type d'action Autorisations
actions None
notActions None
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions None

Contributeur de pool d’hôtes de virtualisation de poste de travail

Le rôle Contributeur de pool d’hôtes de virtualisation de poste de travail permet aux utilisateurs de gérer tous les aspects d’un pool d’hôtes. Vous aurez également besoin du rôle Contributeur de machine virtuelle pour créer des machines virtuelles et des rôles Contributeur du groupe d’applications de virtualisation de poste de travail et Contributeur d’espace de travail de virtualisation de poste de travail pour déployer Azure Virtual Desktop en utilisant le portail, ou vous pouvez utiliser le rôle Contributeur de virtualisation des services Bureau.

Type d'action Autorisations
actions
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lecteur de pool d’hôtes de virtualisation de poste de travail

Le rôle Lecteur de pool d’hôtes de virtualisation de poste de travail vous permet d’afficher tous les aspects d’un pool d’hôtes, mais n’autorise pas les modifications.

Type d'action Autorisations
actions
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Contributeur du groupe d’applications de virtualisation de poste de travail

Le rôle Contributeur du groupe d’applications de virtualisation de poste de travail vous permet de gérer tous les aspects d’un groupe d’applications. Si vous souhaitez également attribuer des comptes d’utilisateur ou des groupes d’utilisateurs aux groupes d’applications, vous aurez aussi besoin du rôle Administrateur de l’accès utilisateur.

Type d'action Autorisations
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lecteur du groupe d’applications de virtualisation de poste de travail

Le rôle Lecteur du groupe d’applications de virtualisation de poste de travail vous permet d’afficher tous les aspects d’un groupe d’applications, mais n’autorise pas les modifications.

Type d'action Autorisations
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Contributeur d’espace de travail de virtualisation de poste de travail

Le rôle Contributeur d’espace de travail de virtualisation de poste de travail vous permet de gérer tous les aspects des espaces de travail. Pour recevoir des informations sur les applications ajoutées aux groupes d’applications associés, vous avez également besoin du rôle Lecteur du groupe d’applications de virtualisation de poste de travail.

Type d'action Autorisations
actions
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lecteur d’espace de travail de virtualisation de poste de travail

Le rôle Lecteur d’espace de travail de virtualisation de poste de travail permet aux utilisateurs d’afficher tous les aspects d’un espace de travail, mais n’autorise pas les modifications.

Type d'action Autorisations
actions
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Opérateur de session utilisateur de virtualisation de poste de travail

Le rôle Opérateur de session utilisateur de virtualisation de poste de travail vous permet d’envoyer des messages, de déconnecter des sessions et d’utiliser la fonction logoff (fermeture de session) pour déconnecter des utilisateurs d’un hôte de la session. Toutefois, ce rôle ne vous permet pas de gérer l’hôte de la session ou le pool d’hôtes, comme de supprimer un hôte de la session, de modifier le mode maintenance, etc. Ce rôle peut voir les affectations, mais ne peut pas modifier les membres. Nous vous recommandons d’attribuer ce rôle à des pools d’hôtes spécifiques. Si vous attribuez ce rôle au niveau d’un groupe de ressources, il fournit une autorisation en lecture sur tous les pools d’hôtes d’un groupe de ressources.

Type d'action Autorisations
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Opérateur d’hôte de session de virtualisation de virtualisation de poste de travail

Le rôle Opérateur d’hôte de session de virtualisation de poste de travail vous permet d’afficher et de supprimer des hôtes de session, ainsi que de modifier le mode maintenance. Ce rôle ne peut ajouter aucun hôte de session en utilisant le Portail Azure, car il ne dispose pas d’une autorisation en écriture pour des objets de pool d’hôtes. Pour l’ajout d’hôtes de la session en dehors du Portail Azure, si le jeton d’inscription est valide (est généré et n’a pas expiré), ce rôle peut ajouter des hôtes de session au pool d’hôtes si l’utilisateur concerné se voit également attribuer le rôle Contributeur de machine virtuelle.

Type d'action Autorisations
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Contributeur de mise sous tension de la virtualisation du Bureau

Vous utilisez le rôle Contributeur de mise sous tension de la virtualisation du Bureau pour autoriser le fournisseur de ressources Azure Virtual Desktop à démarrer des machines virtuelles.

Type d'action Autorisations
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions None
dataActions None
notDataActions None

Contributeur de mise sous et hors tension de la virtualisation du Bureau

Vous utilisez le rôle Contributeur de mise sous et hors tension de la virtualisation du Bureau pour autoriser le fournisseur de ressources Azure Virtual Desktop à démarrer et arrêter des machines virtuelles.

Type d'action Autorisations
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions None
dataActions None
notDataActions None

Contributeur de machine virtuelle de virtualisation du Bureau

Vous utilisez le rôle Contributeur de machine virtuelle de virtualisation du Bureau pour autoriser le fournisseur de ressources Azure Virtual Desktop à créer, supprimer, mettre à jour, démarrer et arrêter des machines virtuelles.

Type d'action Autorisations
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions None
dataActions None
notDataActions None