Azure Virtual Desktop の組み込み Azure RBAC ロール

[アーティクル]
02/23/2024

Azure Virtual Desktop では、Azure のロールベースのアクセス制御 (RBAC) を使用してリソースへのアクセスを制御します。 Azure Virtual Desktop で使用できる組み込みロールは多数あります。これらは、アクセス許可のコレクションです。ユーザーと管理者にロールを割り当てます。これらのロールは、特定のタスクを実行するアクセス許可を付与します。 Azure RBAC の詳細については、「Azure RBAC とは」を参照してください。

Azure の標準の組み込みロールは、''所有者''、''共同作成者''、および ''閲覧者''　です。しかし、Azure Virtual Desktop にはさらにロールがあり、ホストプール、アプリケーショングループ、およびワークスペースの管理ロールを分けることができます。この分離により、管理タスクをより細かく制御できます。これらのロールには、Azure の標準ロールと最小限の特権の手法に準拠した名前が付けられています。 Azure Virtual Desktop には特定の所有者ロールはありませんが、サービスオブジェクトには一般的な所有者ロールを使用できます。

Azure Virtual Desktop の組み込みロールとそれぞれのアクセス許可については、この記事で詳しく説明します。必要なスコープに各ロールを割り当てることができます。一部の Azure Desktop 機能には、割り当てられたスコープに固有の要件があります。関連する機能のドキュメントを参照してください。詳細については、「Azure ロールの定義について」および「Azure RBAC のスコープについて」を参照してください。

デスクトップ仮想化共同作成者

デスクトップ仮想化共同作成者ロールを使用すると、すべての Azure Virtual Desktop リソースを管理できます。アプリケーショングループをユーザーアカウントまたはユーザーグループに割り当てるには、''ユーザーアクセス管理者'' ロールも必要です。このロールでは、ユーザーにコンピューティングリソースへのアクセス権は付与されません。

アクションの種類	アクセス許可
actions	Microsoft.DesktopVirtualization/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	None
dataActions	None
notDataActions	None

デスクトップ仮想化閲覧者

デスクトップ仮想化閲覧者ロールを使用すると、すべての Azure Virtual Desktop リソースを表示できますが、変更はできません。

アクションの種類	アクセス許可
actions	Microsoft.DesktopVirtualization//read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	None
dataActions	None
notDataActions	None

デスクトップ仮想化ユーザー

デスクトップ仮想化ユーザーロールを使用すると、ユーザーは、アプリケーショングループからセッションホスト上のアプリケーションを非管理ユーザーとして利用できます。

アクションの種類	アクセス許可
actions	None
notActions	None
dataActions	Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions	None

Desktop Virtualization Host Pool Contributor

デスクトップ仮想化ホストプール共同作成者ロールを使用すると、ホストプールのすべての側面を管理できます。また、ポータルを使用して仮想マシンを作成するには ''仮想マシン共同作成者'' ロール、Azure Virtual Desktop をデプロイするには ''デスクトップ仮想化アプリケーショングループ共同作成者'' と ''デスクトップ仮想化ワークスペース共同作成者'' ロールが必要です。または、''デスクトップ仮想化共同作成者'' ロールを使用できます。

アクションの種類	アクセス許可
actions	Microsoft.DesktopVirtualization/hostpools/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	None
dataActions	None
notDataActions	None

Desktop Virtualization Host Pool Reader

デスクトップ仮想化ホストプール閲覧者ロールを使用すると、ホストプールのすべての側面を表示できますが、変更はできません。

アクションの種類	アクセス許可
actions	Microsoft.DesktopVirtualization/hostpools//read Microsoft.DesktopVirtualization/hostpools/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	None
dataActions	None
notDataActions	None

Desktop Virtualization Application Group Contributor

デスクトップ仮想化アプリケーショングループ共同作成者ロールを使用すると、アプリケーショングループのすべての側面を管理できます。また、ユーザーアカウントまたはユーザーグループをアプリケーショングループに割り当てる場合、''ユーザーアクセス管理者'' ロールも必要です。

アクションの種類	アクセス許可
actions	Microsoft.DesktopVirtualization/applicationgroups/* Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	None
dataActions	None
notDataActions	None

Desktop Virtualization Application Group Reader

デスクトップ仮想化アプリケーショングループ閲覧者ロールを使用すると、アプリケーショングループのすべての側面を表示できますが、変更はできません。

アクションの種類	アクセス許可
actions	Microsoft.DesktopVirtualization/applicationgroups//read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	None
dataActions	None
notDataActions	None

Desktop Virtualization Workspace Contributor

デスクトップ仮想化ワークスペース共同作成者ロールを使用すると、ワークスペースのすべての側面を管理できます。関連するアプリケーショングループに追加されたアプリケーションに関する情報を取得するには、''デスクトップ仮想化アプリケーショングループ閲覧者'' ロールも必要です。

アクションの種類	アクセス許可
actions	Microsoft.DesktopVirtualization/workspaces/* Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	None
dataActions	None
notDataActions	None

Desktop Virtualization Workspace Reader

デスクトップ仮想化ワークスペース閲覧者ロールを使用すると、ユーザーはワークスペースのすべての側面を表示できますが、変更はできません。

アクションの種類	アクセス許可
actions	Microsoft.DesktopVirtualization/workspaces/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/
notActions	None
dataActions	None
notDataActions	None

Desktop Virtualization User Session Operator

デスクトップ仮想化ユーザーセッションオペレーターロールを使用すると、メッセージの送信、セッションの切断、および ''ログオフ'' 機能を使ったセッションホストからのユーザーのサインアウトを行うことができます。しかし、このロールでは、セッションホストの削除やドレインモードの変更など、ホストプールやセッションホストの管理を行うことはできません。このロールでは割り当てを表示することはできますが、メンバーを変更することはできません。このロールは、特定のホストプールに割り当てることをお勧めします。このロールをリソースグループレベルで割り当てると、リソースグループのすべてのホストプールに対する読み取りアクセス許可が付与されます。

アクションの種類	アクセス許可
actions	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	None
dataActions	None
notDataActions	None

Desktop Virtualization Session Host Operator

デスクトップ仮想化セッションホストオペレーターロールを使用すると、セッションホストを表示および削除したり、ドレインモードを変更したりできます。このロールでは、ホストプールオブジェクトに対する書き込みアクセス許可がないため、Azure portal を使用してセッションホストを追加することはできません。 Azure portal の外部でセッションホストを追加するときに、登録トークンが有効 (生成され、期限切れではない) で、''仮想マシン共同作成者'' ロールも割り当てられている場合、このロールでホストプールにセッションホストを追加できます。

アクションの種類	アクセス許可
actions	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	None
dataActions	None
notDataActions	None

Desktop Virtualization Power On 共同作成者

デスクトップ仮想化電源オン共同作成者ロールは、Azure Virtual Desktop リソースプロバイダーが仮想マシンを起動できるようにするために使用されます。

アクションの種類	アクセス許可
actions	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	None
dataActions	None
notDataActions	None

Desktop Virtualization Power On Off 共同作成者

デスクトップ仮想化電源オン/オフ共同作成者ロールは、Azure Virtual Desktop リソースプロバイダーが仮想マシンを起動および停止できるようにするために使用されます。

アクションの種類	アクセス許可
actions	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Insights/eventtypes/values/Read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	None
dataActions	None
notDataActions	None

デスクトップ仮想化仮想マシン共同作成者

デスクトップ仮想化仮想マシン共同作成者ロールは、Azure Virtual Desktop リソースプロバイダーが仮想マシンを作成、削除、更新、起動、停止できるようにするために使用されます。

アクションの種類	アクセス許可
actions	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.DesktopVirtualization/hostpools/sessionhostconfigurations/read Microsoft.Compute/availabilitySets/read Microsoft.Compute/availabilitySets/write Microsoft.Compute/availabilitySets/vmSizes/read Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/disks/delete Microsoft.Compute/galleries/read Microsoft.Compute/galleries/images/read Microsoft.Compute/galleries/images/versions/read Microsoft.Compute/images/read Microsoft.Compute/locations/usages/read Microsoft.Compute/locations/vmSizes/read Microsoft.Compute/operations/read Microsoft.Compute/skus/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/runCommand/action Microsoft.Compute/virtualMachines/extensions/read Microsoft.Compute/virtualMachines/extensions/write Microsoft.Compute/virtualMachines/extensions/delete Microsoft.Compute/virtualMachines/runCommands/read Microsoft.Compute/virtualMachines/runCommands/write Microsoft.Compute/virtualMachines/vmSizes/read Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/delete Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read Microsoft.KeyVault/vaults/deploy/action Microsoft.Storage/storageAccounts/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read
notActions	None
dataActions	None
notDataActions	None