Condividi tramite


Ruoli predefiniti di Controllo degli accessi in base al ruolo per Desktop virtuale Azure

Desktop virtuale Azure usa il controllo degli accessi in base al ruolo di Azure per controllare l'accesso alle risorse. Sono disponibili molti ruoli predefiniti da usare con Desktop virtuale Azure che costituiscono una raccolta di autorizzazioni. Si assegnano ruoli a utenti e amministratori che forniscono l'autorizzazione a eseguire determinate attività. Per altre informazioni su Controllo degli accessi in base al ruolo di Azure, vedere Che cos'è Controllo degli accessi in base al ruolo di Azure?

I ruoli predefiniti standard per Azure sono Proprietario, Collaboratore e Lettore. Desktop virtuale Azure include tuttavia più ruoli che consentono di separare i ruoli di gestione per pool di host, i gruppi di applicazioni e le aree di lavoro. Tale separazione consente di disporre di un controllo più granulare sulle attività amministrative. Questi ruoli vengono denominati in conformità ai ruoli standard di Azure e alla metodologia dei privilegi minimi. Desktop virtuale Azure non dispone di un ruolo proprietario specifico. È tuttavia possibile usare il ruolo proprietario generico per gli oggetti del servizio.

I ruoli predefiniti per Desktop virtuale Azure e le relative autorizzazioni vengono descritti in dettaglio in questo articolo. È possibile assegnare ogni ruolo all'ambito necessario. Alcune funzionalità di Desktop di Azure richiedono requisiti specifici per l'ambito assegnato, che possono essere consultati nella documentazione relativa alla funzionalità pertinente. Per altre informazioni, vedere Informazioni sulle definizioni dei ruoli di Azure e Informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure.

Collaboratore di virtualizzazione desktop

Il ruolo Collaboratore virtualizzazione desktop consente di gestire tutte le risorse di Desktop virtuale Azure. Per assegnare gruppi di applicazioni agli account utente o ai gruppi di utenti è necessario anche il ruolo Amministratore accesso utenti. Questo ruolo non concede agli utenti l'accesso alle risorse di calcolo.

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lettore virtualizzazione desktop

Il ruolo Lettore virtualizzazione desktop consente di visualizzare tutte le risorse di Desktop virtuale Azure, ma non consente modifiche.

ID: 49a72310-ab8d-41df-bbb0-79b649203868

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Utente virtualizzazione desktop

Il ruolo Utente virtualizzazione desktop consente agli utenti di usare un'applicazione in un host di sessione da un gruppo di applicazioni come utente non amministrativo.

ID: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Tipo di azione Autorizzazioni
actions None
notActions None
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions None

Collaboratore del pool di host di virtualizzazione desktop

Il ruolo Collaboratore pool di host virtualizzazione desktop consente di gestire tutti gli aspetti di un pool di host. Sono anche necessari il ruolo Collaboratore macchina virtuale per creare macchine virtuali e i ruoli Collaboratore gruppo di applicazioni per virtualizzazione desktop e Collaboratore area di lavoro di virtualizzazione desktop per distribuire Desktop virtuale Azure tramite il portale, oppure è possibile usare il ruolo Collaboratore virtualizzazione desktop.

ID: e307426c-f9b6-4e81-87de-d99efb3c32bc

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Ruolo con autorizzazioni di lettura del pool di host di virtualizzazione desktop

Il ruolo Lettore pool di host di virtualizzazione desktop consente di visualizzare tutti gli aspetti del pool di host, ma non consente modifiche.

ID: ceadfde2-b300-400a-ab7b-6143895aa822

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Collaboratore del gruppo di applicazioni di virtualizzazione desktop

Il ruolo Collaboratore gruppo di applicazioni di virtualizzazione desktop consente di gestire tutti gli aspetti di un gruppo di applicazioni. Se si vuole assegnare gli account utente o i gruppi di utenti ai gruppi di applicazioni, è necessario anche il ruolo Amministratore accesso utenti.

ID: 86240b0e-9422-4c43-887b-b61143f32ba8

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Ruolo con autorizzazioni di lettura del gruppo di applicazioni di virtualizzazione desktop

Il ruolo Lettore gruppo di applicazioni di virtualizzazione desktop consente di visualizzare tutti gli aspetti del gruppo di applicazioni, ma non consente modifiche.

ID: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Collaboratore dell'area di lavoro di virtualizzazione desktop

Il ruolo Collaboratore area di lavoro di virtualizzazione desktop consente di gestire tutti gli aspetti delle aree di lavoro. Per ottenere informazioni sulle applicazioni aggiunte a un gruppo di applicazioni correlato, è necessario anche il ruolo Lettore del gruppo di applicazioni per virtualizzazione desktop.

ID: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Ruolo con autorizzazioni di lettura dell'area di lavoro di virtualizzazione desktop

Il ruolo Lettore dell’area di lavoro di virtualizzazione desktop consente di visualizzare tutti gli aspetti di un’area di lavoro, ma non consente modifiche.

ID: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Operatore della sessione utente di virtualizzazione desktop

Il ruolo Operatore sessione utente virtualizzazione desktop consente l'invio di messaggi, la disconnessione delle sessioni e l'uso della funzione di disconnessione per disconnettere gli utenti da un host di sessione. Questo ruolo non consente tuttavia la gestione del pool di host o dell'host di sessione, ad esempio la rimozione di un host di sessione, la modifica della modalità di svuotamento e così via. Questo ruolo può visualizzare le assegnazioni, ma non può modificare i membri. È consigliabile assegnare questo ruolo a pool di host specifici. Se si assegna questo ruolo a livello di gruppo di risorse, fornisce l'autorizzazione di lettura per tutti i pool di host in un gruppo di risorse.

ID: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Operatore dell'host di sessione di virtualizzazione desktop

Il ruolo Operatore host di sessione virtualizzazione desktop consente di visualizzare e rimuovere host di sessione e modificare la modalità di svuotamento. Questo ruolo non consente di aggiungere host di sessione tramite il portale Azure perché non dispone dell'autorizzazione di scrittura per gli oggetti del pool di host. Se il token di registrazione è valido, ovvero generato e non scaduto, questo ruolo consente di aggiungere host di sessione al pool di host all’esterno del portale di Azure, nel caso in cui venga assegnato anche il ruolo Collaboratore macchina virtuale.

ID: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Collaboratore accensione virtualizzazione desktop

Il ruolo Collaboratore accensione virtualizzazione desktop viene usato per consentire al provider di risorse di Desktop virtuale Azure di avviare le macchine virtuali.

ID: 489581de-a3bd-480d-9518-53dea7416b33

Tipo di azione Autorizzazioni
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions None
dataActions None
notDataActions None

Collaboratore accensione/spegnimento virtualizzazione desktop

Il ruolo Collaboratore accensione/spegnimento virtualizzazione desktop viene usato per consentire al provider di risorse di Desktop virtuale Azure di avviare e arrestare le macchine virtuali.

ID: 40c5ff49-9181-41f8-ae61-143b0e78555e

Tipo di azione Autorizzazioni
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions None
dataActions None
notDataActions None

Collaboratore macchina virtuale virtualizzazione desktop

Il ruolo Collaboratore macchina virtuale virtualizzazione desktop viene usato per consentire al provider di risorse di Desktop virtuale Azure di creare, eliminare, aggiornare, avviare e arrestare le macchine virtuali.

ID: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions None
dataActions None
notDataActions Nessuno