Controllo degli accessi in base al ruolo per Desktop virtuale Azure
Desktop virtuale Azure usa i controlli degli accessi in base al ruolo di Azure per assegnare ruoli a utenti e amministratori. Questi ruoli consentono agli amministratori di eseguire determinate attività.
I ruoli predefiniti standard per Azure sono i seguenti:
- Proprietario
- Collaboratore
- Lettore
Desktop virtuale Azure include tuttavia ruoli aggiuntivi che consentono di separare i ruoli di gestione per pool di host, gruppi di app e aree di lavoro.
Questi ruoli vengono denominati in conformità ai ruoli standard di Azure e alla metodologia dei privilegi minimi.
Desktop virtuale Azure non ha un ruolo Proprietario specifico. È tuttavia possibile usare un ruolo Proprietario standard per gli oggetti servizio.
Di seguito sono illustrati i ruoli di Desktop virtuale Azure:
- Ruolo Collaboratore virtualizzazione desktop: consente di gestire tutti gli aspetti della distribuzione. Non concede tuttavia l'accesso alle risorse di calcolo. È inoltre necessario il ruolo Amministratore Accesso utenti per pubblicare gruppi di app per utenti o gruppi di utenti.
- Ruolo Lettore virtualizzazione desktop: consente di visualizzare tutti gli elementi della distribuzione, ma non di apportare modifiche.
- Ruolo Collaboratore pool di host: consente di gestire tutti gli aspetti dei pool di host, incluso l'accesso alle risorse. Per creare macchine virtuali è necessario un ruolo di collaboratore aggiuntivo, ovvero Collaboratore Macchina virtuale. Per creare il pool di host tramite il portale, sono necessari i ruoli Collaboratore gruppo di applicazioni e Collaboratore area di lavoro. In alternativa è possibile usare il ruolo Collaboratore virtualizzazione desktop.
- Ruolo Lettore pool di host: consente di visualizzare tutti gli elementi del pool di host, ma non di apportare modifiche.
- Ruolo Collaboratore gruppo di applicazioni: consente di gestire tutti gli aspetti dei gruppi di app. Per pubblicare gruppi di app per utenti o gruppi di utenti, è inoltre necessario il ruolo Amministratore Accesso utenti.
- Ruolo Lettore gruppo di applicazioni: consente di visualizzare tutti gli elementi del gruppo di app, ma non di apportare modifiche.
- Ruolo Collaboratore area di lavoro: consente di gestire tutti gli aspetti delle aree di lavoro. Per ottenere informazioni sulle applicazioni aggiunte ai gruppi di app, è necessario disporre anche del ruolo Lettore gruppo di applicazioni.
- Ruolo Lettore area di lavoro: consente di visualizzare tutti gli elementi dell'area di lavoro, ma non di apportare modifiche.
- Ruolo Operatore sessione utente: consente di inviare messaggi, disconnettere sessioni e usare la funzione di disconnessione per uscire dall'host di sessione. Questo ruolo non consente tuttavia di eseguire attività di gestione dell'host di sessione, ad esempio la rimozione dell'host, la modifica della modalità di svuotamento e così via. Questo ruolo può visualizzare le assegnazioni, ma non può modificare gli amministratori. È consigliabile assegnare questo ruolo a pool di host specifici. Se si concede questa autorizzazione a livello di gruppo di risorse, l'amministratore disporrà dell'autorizzazione di lettura per tutti i pool di host in un gruppo di risorse.
- Ruolo Collaboratore host sessione: consente di visualizzare e rimuovere gli host di sessione e modificare la modalità di svuotamento. Con questo ruolo non è possibile aggiungere host di sessione usando il portale di Azure perché non si dispone dell'autorizzazione di scrittura per gli oggetti pool di host. Se il token di registrazione è valido (generato e non scaduto), è possibile usare questo ruolo per aggiungere host di sessione al pool di host all'esterno di portale di Azure se l'amministratore dispone delle autorizzazioni di elaborazione tramite il ruolo Collaboratore Macchina virtuale.