Peran Azure RBAC bawaan untuk Azure Virtual Desktop

  • Artikel

Azure Virtual Desktop menggunakan kontrol akses berbasis peran Azure (RBAC) untuk mengontrol akses ke sumber daya. Ada banyak peran bawaan untuk digunakan dengan Azure Virtual Desktop yang merupakan kumpulan izin. Anda menetapkan peran kepada pengguna dan admin dan peran ini memberikan izin untuk melaksanakan tugas tertentu. Untuk mempelajari Azure RBAC lebih lanjut, lihat Apa itu Azure RBAC?.

Peran bawaan standar untuk Azure adalah Pemilik, Kontributor, dan Pembaca. Namun, Azure Virtual Desktop memiliki lebih banyak peran yang memungkinkan Anda memisahkan peran manajemen untuk kumpulan host, grup aplikasi, dan ruang kerja. Pemisahan ini memungkinkan Anda memiliki kontrol yang lebih terperinci atas tugas-tugas administratif. Peran ini dinamai sesuai dengan peran standar Azure dan metodologi hak istimewa paling sedikit. Azure Virtual Desktop tidak memiliki peran Pemilik tertentu, tetapi Anda dapat menggunakan peran Pemilik umum untuk objek layanan.

Peran bawaan untuk Azure Virtual Desktop dan izin untuk masing-masing peran dirinci dalam artikel ini. Anda dapat menetapkan setiap peran ke cakupan yang Anda butuhkan. Beberapa fitur Azure Desktop memiliki persyaratan khusus untuk cakupan yang ditetapkan, yang dapat Anda temukan dalam dokumentasi untuk fitur yang relevan. Untuk informasi selengkapnya, lihat Memahami definisi peran Azure dan Memahami cakupan untuk Azure RBAC.

Kontributor Virtualisasi Desktop

Peran Kontributor Virtualisasi Desktop memungkinkan pengelolaan semua sumber daya Azure Virtual Desktop Anda. Anda juga memerlukan peran Administrator Akses Pengguna untuk menetapkan grup aplikasi ke akun pengguna atau grup pengguna. Peran ini tidak memberi pengguna akses ke sumber daya komputasi.

Jenis tindakan Izin
actions
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Tidak
dataActions Tidak
notDataActions Tidak

Pembaca Desktop Virtualization

Peran Pembaca Virtualisasi Desktop memungkinkan melihat semua sumber daya Azure Virtual Desktop Anda, tetapi tidak mengizinkan perubahan.

Jenis tindakan Izin
actions
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Tidak
dataActions Tidak
notDataActions Tidak

Pengguna Desktop Virtualization

Peran Pengguna Virtualisasi Desktop memungkinkan pengguna menggunakan aplikasi pada host sesi dari grup aplikasi sebagai pengguna non-administratif.

Jenis tindakan Izin
actions Tidak
notActions Tidak
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Tidak

Kontributor Kumpulan Host Desktop Virtualization

Peran Kontributor Kumpulan Host Virtualisasi Desktop memungkinkan pengelolaan semua aspek kumpulan host. Anda juga memerlukan peran Kontributor Komputer Virtual untuk membuat komputer virtual dan peran Kontributor Grup Aplikasi Virtualisasi Desktop dan Kontributor Ruang Kerja Virtualisasi Desktop untuk menyebarkan Azure Virtual Desktop menggunakan portal, atau Anda dapat menggunakan peran Kontributor Virtualisasi Desktop.

Jenis tindakan Izin
actions
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Tidak
dataActions Tidak
notDataActions Tidak

Pembaca Kumpulan Host Desktop Virtualization

Peran Pembaca Kumpulan Host Virtualisasi Desktop memungkinkan melihat semua aspek kumpulan host, tetapi tidak mengizinkan perubahan.

Jenis tindakan Izin
actions
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Tidak
dataActions Tidak
notDataActions Tidak

Kontributor Grup Aplikasi Desktop Virtualization

Peran Kontributor Grup Aplikasi Virtualisasi Desktop memungkinkan pengelolaan semua aspek grup aplikasi. Jika Anda ingin menetapkan akun pengguna atau grup pengguna ke grup aplikasi juga, Anda juga memerlukan peran Administrator Akses Pengguna.

Jenis tindakan Izin
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Tidak
dataActions Tidak
notDataActions Tidak

Pembaca Grup Aplikasi Desktop Virtualization

Peran Pembaca Grup Aplikasi Virtualisasi Desktop memungkinkan melihat semua aspek grup aplikasi, tetapi tidak mengizinkan perubahan.

Jenis tindakan Izin
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Tidak
dataActions Tidak
notDataActions Tidak

Kontributor Ruang Kerja Desktop Virtualization

Peran Kontributor Ruang Kerja Virtualisasi Desktop memungkinkan pengelolaan semua aspek ruang kerja. Untuk mendapatkan informasi tentang aplikasi yang ditambahkan ke grup aplikasi terkait, Anda juga memerlukan peran Pembaca Grup Aplikasi Virtualisasi Desktop.

Jenis tindakan Izin
actions
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Tidak
dataActions Tidak
notDataActions Tidak

Pembaca Ruang Kerja Desktop Virtualization

Peran Pembaca Ruang Kerja Virtualisasi Desktop memungkinkan pengguna untuk melihat semua aspek ruang kerja, tetapi tidak mengizinkan perubahan.

Jenis tindakan Izin
actions
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Tidak
dataActions Tidak
notDataActions Tidak

Operator Sesi Pengguna Desktop Virtualization

Peran Operator Sesi Pengguna Virtualisasi Desktop memungkinkan pengiriman pesan, memutuskan sesi, dan menggunakan fungsi logoff untuk mengeluarkan pengguna dari host sesi. Namun, peran ini tidak mengizinkan kumpulan host atau manajemen host sesi seperti menghapus host sesi, mengubah mode pengurasan, dan sebagainya. Peran ini dapat melihat penetapan, tetapi tidak dapat mengubah anggota. Kami sarankan Anda menetapkan peran ini ke kumpulan host tertentu. Jika Anda menetapkan peran ini di tingkat grup sumber daya, peran tersebut menyediakan izin baca pada semua kumpulan host di bawah grup sumber daya.

Jenis tindakan Izin
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Tidak
dataActions Tidak
notDataActions Tidak

Operator Host Sesi Desktop Virtualization

Peran Operator Host Sesi Virtualisasi Desktop memungkinkan melihat dan menghapus host sesi, dan mengubah mode pengurasan. Peran ini tidak dapat menambahkan host sesi menggunakan portal Azure karena tidak memiliki izin tulis untuk objek kumpulan host. Untuk menambahkan host sesi di luar portal Azure, jika token pendaftaran valid (dihasilkan dan tidak kedaluwarsa), peran ini dapat menambahkan host sesi ke kumpulan host jika peran Kontributor Komputer Virtual juga ditetapkan.

Jenis tindakan Izin
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Tidak
dataActions Tidak
notDataActions Tidak

Kontributor Pengaktifan Virtualisasi Desktop

Peran Kontributor Daya Virtualisasi Desktop digunakan untuk memungkinkan Penyedia Sumber Daya Azure Virtual Desktop memulai komputer virtual.

Jenis tindakan Izin
actions
  • Microsoft.Compute/virtualMachines/start/tindakan
  • Microsoft.Compute/virtualMachines/baca
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Tidak
dataActions Tidak
notDataActions Tidak

Kontributor Pengaktifan nonaktifkan Virtualisasi Desktop

Peran Kontributor Hidupkan Daya Virtualisasi Desktop digunakan untuk memungkinkan Penyedia Sumber Daya Azure Virtual Desktop memulai dan menghentikan komputer virtual.

Jenis tindakan Izin
actions
  • Microsoft.Compute/virtualMachines/start/tindakan
  • Microsoft.Compute/virtualMachines/baca
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Tidak
dataActions Tidak
notDataActions Tidak

Kontributor Mesin Virtual Virtualisasi Desktop

Peran Kontributor Komputer Virtual VirtualIsasi Desktop digunakan untuk memungkinkan Penyedia Sumber Daya Azure Virtual Desktop membuat, menghapus, memperbarui, memulai, dan menghentikan komputer virtual.

Jenis tindakan Izin
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/baca
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/baca
  • Microsoft.Compute/disks/tulis
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/baca
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/tindakan
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/tulis
  • Microsoft.Network/networkInterfaces/baca
  • Microsoft.Network/networkInterfaces/gabung/tindakan
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/baca
  • Microsoft.Network/virtualNetworks/subnets/gabung/tindakan
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/baca
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Tidak
dataActions Tidak
notDataActions Tidak ada