Ruoli predefiniti Azure controllo degli accessi in base al ruolo per desktop virtuale Azure

Azure Desktop virtuale usa Azure controllo degli accessi in base al ruolo per controllare l'accesso alle risorse. Esistono molti ruoli predefiniti da usare con Azure Desktop virtuale che sono una raccolta di autorizzazioni. Si assegnano ruoli a utenti e amministratori e questi ruoli consentono di eseguire determinate attività. Per altre informazioni sul controllo degli accessi in base al ruolo Azure, vedere Informazioni sul controllo degli accessi in base al ruolo Azure.

I ruoli predefiniti standard per Azure sono Proprietario, Collaboratore e Lettore. Tuttavia, Azure Desktop virtuale dispone di più ruoli che consentono di separare i ruoli di gestione per i pool host, i gruppi di applicazioni e le aree di lavoro. Questa separazione consente di avere un controllo più granulare sulle attività amministrative. Questi ruoli sono denominati in conformità ai ruoli standard di Azure e alla metodologia con privilegi minimi. Azure Desktop virtuale non dispone di un ruolo proprietario specifico, ma è possibile usare il ruolo proprietario generale per gli oggetti del servizio.

I ruoli predefiniti per Azure Desktop virtuale e le autorizzazioni per ognuno di essi sono descritti in dettaglio in questo articolo. È possibile assegnare ogni ruolo all'ambito necessario. Alcune funzionalità Azure Desktop hanno requisiti specifici per l'ambito assegnato, che è possibile trovare nella documentazione relativa alla funzionalità pertinente. Per altre informazioni, vedere Informazioni sulle definizioni di ruolo Azure e Informazioni sull'ambito per Azure controllo degli accessi in base al ruolo.

Per un elenco completo di tutti i ruoli predefiniti disponibili, vedere Azure ruoli predefiniti.

Collaboratore alla virtualizzazione desktop

Il ruolo Collaboratore virtualizzazione desktop consente di gestire tutte le risorse di Desktop virtuale Azure, oltre all'assegnazione di utenti o gruppi. Se si desidera assegnare account utente o gruppi di utenti alle risorse, è necessario anche il ruolo Amministratore accesso utenti . Il ruolo Collaboratore virtualizzazione desktop non concede agli utenti l'accesso alle risorse di calcolo.

ID: 082f0a83-3be5-4ba1-904c-961cca79b387

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno

Lettore di virtualizzazione desktop

Il ruolo Lettore virtualizzazione desktop consente di visualizzare tutte le risorse di Desktop virtuale Azure, ma non consente modifiche.

ID: 49a72310-ab8d-41df-bbb0-79b649203868

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno

Utente di virtualizzazione desktop

Il ruolo Utente di virtualizzazione desktop consente agli utenti di usare un'applicazione in un host sessione da un gruppo di applicazioni come utente non amministratore.

ID: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Tipo di azione Autorizzazioni
Azioni Nessuno
notActions Nessuno
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Nessuno

Collaboratore del pool di host di virtualizzazione desktop

Il ruolo Collaboratore del pool host di virtualizzazione desktop consente di gestire tutti gli aspetti di un pool di host. È anche necessario il ruolo Collaboratore macchina virtuale per creare macchine virtuali e i ruoli Collaboratore gruppo di applicazioni virtualizzazione desktop e Collaboratore area di lavoro virtualizzazione desktop per distribuire Azure Desktop virtuale usando il portale oppure è possibile usare il ruolo Collaboratore virtualizzazione desktop.

ID: e307426c-f9b6-4e81-87de-d99efb3c32bc

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno

Lettore del pool di host di virtualizzazione desktop

Il ruolo Lettore pool host di virtualizzazione desktop consente di visualizzare tutti gli aspetti di un pool di host, ma non consente modifiche.

ID: ceadfde2-b300-400a-ab7b-6143895aa822

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno

Collaboratore del gruppo di applicazioni di Virtualizzazione desktop

Il ruolo Collaboratore gruppo di applicazioni di Virtualizzazione desktop consente di gestire tutti gli aspetti di un gruppo di applicazioni, ad eccezione dell'assegnazione di utenti o gruppi. Se si desidera assegnare account utente o gruppi di utenti anche ai gruppi di applicazioni, è necessario anche il ruolo Amministratore accesso utenti .

ID: 86240b0e-9422-4c43-887b-b61143f32ba8

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno

Lettore del gruppo di applicazioni di Virtualizzazione desktop

Il ruolo Lettore gruppo di applicazioni di Virtualizzazione desktop consente di visualizzare tutti gli aspetti di un gruppo di applicazioni, ma non consente modifiche.

ID: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno

Collaboratore all'area di lavoro virtualizzazione desktop

Il ruolo Collaboratore area di lavoro virtualizzazione desktop consente di gestire tutti gli aspetti delle aree di lavoro. Per ottenere informazioni sulle applicazioni aggiunte a un gruppo di applicazioni correlato, è necessario anche il ruolo Lettore gruppo di applicazioni di Virtualizzazione desktop .

ID: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno

Lettore dell'area di lavoro di virtualizzazione desktop

Il ruolo Lettore area di lavoro virtualizzazione desktop consente agli utenti di visualizzare tutti gli aspetti di un'area di lavoro, ma non consente modifiche.

ID: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno

Operatore sessione utente di Virtualizzazione desktop

Il ruolo Desktop Virtualization User Session Operator consente di inviare messaggi, disconnettere le sessioni e usare la funzione di disconnessione per disconnettere gli utenti da un host di sessione. Tuttavia, questo ruolo non consente la gestione del pool di host o dell'host sessione, ad esempio la rimozione di un host sessione, la modifica della modalità di svuotamento e così via. Questo ruolo può visualizzare le assegnazioni, ma non può modificare i membri. È consigliabile assegnare questo ruolo a pool di host specifici. Se si assegna questo ruolo a livello di gruppo di risorse, fornisce l'autorizzazione di lettura per tutti i pool host in un gruppo di risorse.

ID: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno

Operatore host sessione di virtualizzazione desktop

Il ruolo Operatore host sessione virtualizzazione desktop consente di visualizzare e rimuovere gli host sessione e di modificare la modalità di svuotamento. Questo ruolo non può aggiungere host di sessione usando il portale di Azure perché non dispone dell'autorizzazione di scrittura per gli oggetti del pool di host. Per l'aggiunta di host di sessione all'esterno del portale di Azure, se il token di registrazione è valido (generato e non scaduto), questo ruolo può aggiungere host di sessione al pool di host se viene assegnato anche il ruolo Collaboratore macchina virtuale.

ID: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno

Collaboratore di Power On per La virtualizzazione desktop

Il ruolo Collaboratore Power On di Virtualizzazione desktop viene usato per consentire al provider di risorse desktop virtuale Azure di avviare le macchine virtuali.

ID: 489581de-a3bd-480d-9518-53dea7416b33

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno

Collaboratore alla disattivazione di Desktop Virtualization

Il ruolo Collaboratore Power On Off di Virtualizzazione desktop viene usato per consentire al provider di risorse desktop virtuale Azure di avviare e arrestare le macchine virtuali.

ID: 40c5ff49-9181-41f8-ae61-143b0e78555e

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno

Collaboratore alla macchina virtuale di virtualizzazione desktop

Il ruolo Collaboratore macchina virtuale virtualizzazione desktop viene usato per consentire al provider di risorse desktop virtuale Azure di creare, eliminare, aggiornare, avviare e arrestare le macchine virtuali.

ID: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Tipo di azione Autorizzazioni
Azioni
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Nessuno
dataActions Nessuno
notDataActions Nessuno
  • Last updated on