Azure Virtual Desktop のロールベースのアクセス制御 (RBAC)
Azure Virtual Desktop では、Azure ロールベースのアクセス制御 (RBAC) を使用して、ユーザーと管理者にロールを割り当てます。 これらのロールにより、特定のタスクを実行するための管理者権限が付与されます。
Azure の標準の組み込みロールは次のとおりです。
- [所有者]
- Contributor
- Reader
一方 Azure Virtual Desktop には、ホスト プール、アプリ グループ、およびワークスペースの管理者ロールを分けるための追加のロールがあります。
これらのロールには、Azure の標準ロールと最小限の特権の手法に準拠した名前が付けられています。
Azure Virtual Desktop には、特定の所有者ロールはありません。 しかし、サービス オブジェクトには標準の所有者ロールを使用できます。
Azure Virtual Desktop のロールは次のとおりです。
- デスクトップ仮想化共同作成者ロール: デプロイのすべての側面を管理できます。 ただし、コンピューティング リソースへのアクセス許可は付与されません。 また、ユーザーまたはユーザー グループにアプリ グループを公開するには、ユーザー アクセス管理者ロールが必要です。
- デスクトップ仮想化閲覧者ロール: デプロイ内のすべての情報を表示できますが、変更を行うことはできません。
- ホスト プール共同作成者ロール: リソースへのアクセスなど、ホスト プールのすべての側面を管理できます。 仮想マシンを作成するには、追加の共同作成者ロールである仮想マシン共同作成者が必要です。 ポータルを使用してホスト プールを作成するには、AppGroup とワークスペース共同作成者ロールが必要です。または、デスクトップ仮想化共同作成者ロールを使用できます。
- ホスト プール閲覧者ロール: ホスト プール内のすべての情報を表示できますが、変更を行うことはできません。
- アプリケーション グループ共同作成者ロール: アプリ グループのすべての側面を管理できます。 アプリ グループをユーザーまたはユーザー グループに公開する場合は、ユーザー アクセス管理者ロールが必要です。
- アプリケーション グループ閲覧者ロール: アプリ グループ内のすべての情報を表示できますが、変更を行うことはできません。
- ワークスペース共同作成者ロール: ワークスペースのすべての側面を管理できます。 アプリ グループに追加されたアプリケーションに関する情報を取得するには、アプリケーション グループ閲覧者ロールも割り当てられている必要があります。
- ワークスペース閲覧者ロール: ワークスペース内のすべての情報を表示できますが、変更を行うことはできません。
- ユーザー セッション オペレーター ロール: メッセージの送信、セッションの切断、"ログオフ" 機能を使ったセッション ホストからのセッションのサインアウトを行うことができます。 ただし、このロールを使用しても、セッション ホストの削除やドレイン モードの変更などのセッション ホスト管理を実行することはできません。 このロールでは、割り当ての表示はできますが、管理者の変更はできません。 このロールは、特定のホスト プールに割り当てることをお勧めします。 このアクセス許可をリソース グループ レベルで付与すると、管理者には、リソース グループの配下にあるすべてのホスト プールに対する読み取りアクセス許可が付与されます。
- セッション ホスト共同作成者ロール: セッション ホストを表示および削除し、ドレイン モードを変更できます。 ホスト プール オブジェクトに対する書き込みアクセス許可がないため、Azure portal を使用してセッション ホストを追加することはできません。 登録トークンが有効 (生成され、期限切れではない) で、仮想マシン共同作成者ロールを通じて管理者にコンピューティングのアクセス許可が付与されている場合は、このロールを使用して、Azure portal の外部のホスト プールにセッション ホストを追加できます。