Azure Virtual Desktop では、Azureロールベースのアクセス制御 (RBAC) を使用してリソースへのアクセスを制御します。 アクセス許可のコレクションであるAzure Virtual Desktop で使用するための組み込みのロールは多数あります。 ユーザーと管理者にロールを割り当て、これらのロールは特定のタスクを実行するためのアクセス許可を付与します。 RBAC のAzureの詳細については、「RBAC Azureとは」を参照してください。
Azureの標準の組み込みロールは、所有者、共同作成者、閲覧者です。 ただし、Azure Virtual Desktop には、ホスト プール、アプリケーション グループ、ワークスペースの管理ロールを分離できる、より多くのロールがあります。 この分離により、管理タスクをより詳細に制御できます。 これらのロールは、Azureの標準ロールと最小特権の手法に準拠して名前が付けられます。 Azure Virtual Desktop には特定の所有者ロールはありませんが、サービス オブジェクトには一般的な所有者ロールを使用できます。
この記事では、Azure Virtual Desktop の組み込みロールと、それぞれに対するアクセス許可について詳しく説明します。 必要なスコープに各ロールを割り当てることができます。 一部のAzureデスクトップ機能には、割り当てられたスコープに固有の要件があります。関連する機能のドキュメントを参照してください。 詳細については、「Azure ロールの定義について」および「Azure RBAC のスコープについて」を参照してください。
使用可能なすべての組み込みロールの完全な一覧については、「Azure組み込みロール」を参照してください。
デスクトップ仮想化共同作成者
Desktop Virtualization 共同作成者ロールを使用すると、ユーザーまたはグループの割り当てとは別に、すべてのAzure Virtual Desktop リソースを管理できます。 ユーザー アカウントまたはユーザー グループをリソースに割り当てる場合は、 ユーザー アクセス管理者 ロールも必要です。 Desktop Virtualization 共同作成者ロールは、ユーザーにコンピューティング リソースへのアクセスを許可しません。
ID: 082f0a83-3be5-4ba1-904c-961cca79b387
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
デスクトップ仮想化リーダー
Desktop Virtualization Reader ロールを使用すると、すべてのAzure Virtual Desktop リソースを表示できますが、変更は許可されません。
ID: 49a72310-ab8d-41df-bbb0-79b649203868
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
デスクトップ仮想化ユーザー
デスクトップ仮想化ユーザー ロールを使用すると、ユーザーはアプリケーション グループのセッション ホスト上のアプリケーションを管理以外のユーザーとして使用できます。
ID: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63
| アクションの種類 | アクセス許可 |
|---|---|
| actions | なし |
| notActions | なし |
| dataActions |
|
| notDataActions | なし |
デスクトップ仮想化ホスト プール共同作成者
Desktop Virtualization ホスト プール共同作成者ロールを使用すると、ホスト プールのすべての側面を管理できます。 また、仮想マシンを作成するには仮想マシン共同作成者ロール、ポータルを使用して Virtual Desktop Azure展開するには Desktop Virtualization Application Group 共同作成者ロールと Desktop Virtualization ワークスペース共同作成者ロールも必要です。または、Desktop Virtualization 共同作成者ロールを使用することもできます。
ID: e307426c-f9b6-4e81-87de-d99efb3c32bc
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
デスクトップ仮想化ホスト プール リーダー
Desktop Virtualization ホスト プール閲覧者ロールを使用すると、ホスト プールのすべての側面を表示できますが、変更は許可されません。
ID: ceadfde2-b300-400a-ab7b-6143895aa822
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
デスクトップ仮想化アプリケーション グループ共同作成者
Desktop Virtualization アプリケーション グループ共同作成者ロールを使用すると、ユーザーまたはグループの割り当てとは別に、アプリケーション グループのすべての側面を管理できます。 ユーザー アカウントまたはユーザー グループもアプリケーション グループに割り当てる場合は、 ユーザー アクセス管理者 ロールも必要です。
ID: 86240b0e-9422-4c43-887b-b61143f32ba8
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
デスクトップ仮想化アプリケーション グループ リーダー
Desktop Virtualization アプリケーション グループ閲覧者ロールを使用すると、アプリケーション グループのすべての側面を表示できますが、変更は許可されません。
ID: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
デスクトップ仮想化ワークスペース共同作成者
Desktop Virtualization ワークスペース共同作成者ロールを使用すると、ワークスペースのすべての側面を管理できます。 関連するアプリケーション グループに追加されたアプリケーションに関する情報を取得するには、 Desktop Virtualization アプリケーション グループ閲覧者 ロールも必要です。
ID: 21efdde3-836f-432b-bf3d-3e8e734d4b2b
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
デスクトップ仮想化ワークスペース リーダー
Desktop Virtualization ワークスペース閲覧者ロールを使用すると、ユーザーはワークスペースのすべての側面を表示できますが、変更は許可されません。
ID: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
Desktop Virtualization User Session Operator
Desktop Virtualization User Session Operator ロールを使用すると、メッセージの送信、セッションの切断、 ログオフ 関数を使用してセッション ホストからユーザーをサインアウトできます。 ただし、このロールでは、セッション ホストの削除、ドレイン モードの変更など、ホスト プールやセッション ホスト管理は許可されません。 このロールでは割り当てを確認できますが、メンバーを変更することはできません。 このロールを特定のホスト プールに割り当てることをお勧めします。 リソース グループ レベルでこのロールを割り当てると、リソース グループのすべてのホスト プールに対する読み取りアクセス許可が提供されます。
ID: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
Desktop Virtualization Session Host Operator
Desktop Virtualization Session Host Operator ロールを使用すると、セッション ホストの表示と削除、ドレイン モードの変更を行うことができます。 このロールは、ホスト プール オブジェクトの書き込みアクセス許可がないため、Azure portalを使用してセッション ホストを追加できません。 Azure portalの外部にセッション ホストを追加する場合、登録トークンが有効 (生成され、期限切れではない) 場合、仮想マシン共同作成者ロールも割り当てられている場合、このロールはセッション ホストをホスト プールに追加できます。
ID: 2ad6aaab-ead9-4eaa-8ac5-da422f562408
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
Desktop Virtualization Power On 共同作成者
Desktop Virtualization Power On 共同作成者ロールは、仮想デスクトップ リソース プロバイダー Azureが仮想マシンを起動できるようにするために使用されます。
ID: 489581de-a3bd-480d-9518-53dea7416b33
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
Desktop Virtualization Power On Off 共同作成者
Desktop Virtualization Power On Off 共同作成者ロールは、仮想デスクトップ リソース プロバイダー Azure仮想マシンの起動と停止を許可するために使用されます。
ID: 40c5ff49-9181-41f8-ae61-143b0e78555e
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |
デスクトップ仮想化仮想マシン共同作成者
Desktop Virtualization Virtual Machine 共同作成者ロールは、仮想デスクトップ リソース プロバイダー Azureが仮想マシンを作成、削除、更新、開始、および停止できるようにするために使用されます。
ID: a959dbd1-f747-45e3-8ba6-dd80f235f97c
| アクションの種類 | アクセス許可 |
|---|---|
| actions |
|
| notActions | なし |
| dataActions | なし |
| notDataActions | なし |