Delen via

Ingebouwde Azure RBAC-rollen voor Azure Virtual Desktop

Azure Virtual Desktop maakt gebruik van op rollen gebaseerd toegangsbeheer (RBAC) van Azure om de toegang tot resources te beheren. Er zijn veel ingebouwde rollen voor gebruik met Azure Virtual Desktop die een verzameling machtigingen vormen. U wijst rollen toe aan gebruikers en beheerders en deze rollen geven toestemming om bepaalde taken uit te voeren. Zie Wat is Azure RBAC voor meer informatie over Azure RBAC.

De standaard ingebouwde rollen voor Azure zijn Eigenaar, Inzender en Lezer. Azure Virtual Desktop heeft echter meer rollen waarmee u beheerrollen kunt scheiden voor hostgroepen, toepassingsgroepen en werkruimten. Met deze scheiding hebt u meer gedetailleerde controle over beheertaken. Deze rollen worden benoemd in overeenstemming met de standaardrollen en methodologie met minimale bevoegdheden van Azure. Azure Virtual Desktop heeft geen specifieke rol Van eigenaar, maar u kunt de algemene rol Eigenaar gebruiken voor de serviceobjecten.

In dit artikel worden de ingebouwde rollen voor Azure Virtual Desktop en de machtigingen voor elke rol beschreven. U kunt elke rol toewijzen aan het bereik dat u nodig hebt. Sommige Azure Desktop-functies hebben specifieke vereisten voor het toegewezen bereik, die u kunt vinden in de documentatie voor de relevante functie. Zie Inzicht in Azure-roldefinities en Inzicht in bereik voor Azure RBAC voor meer informatie.

Zie Ingebouwde Azure-rollen voor een volledige lijst met alle beschikbare ingebouwde rollen.

Inzender voor bureaubladvirtualisatie

Met de rol Inzender voor bureaubladvirtualisatie kunt u al uw Azure Virtual Desktop-resources beheren, met uitzondering van gebruikers- of groepstoewijzing. Als u gebruikersaccounts of gebruikersgroepen wilt toewijzen aan resources, hebt u ook de rol Beheerder voor gebruikerstoegang nodig. De rol Inzender voor bureaubladvirtualisatie verleent gebruikers geen toegang tot rekenresources.

Id: 082f0a83-3be5-4ba1-904c-961cca79b387

Actietype Machtigingen
Acties
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Geen
dataActions Geen
notDataActions Geen

Lezer voor bureaubladvirtualisatie

Met de rol Lezer voor bureaubladvirtualisatie kunt u al uw Azure Virtual Desktop-resources weergeven, maar zijn wijzigingen niet toegestaan.

Id: 49a72310-ab8d-41df-bbb0-79b649203868

Actietype Machtigingen
Acties
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Geen
dataActions Geen
notDataActions Geen

Gebruiker van bureaubladvirtualisatie

Met de rol Gebruiker van bureaubladvirtualisatie kunnen gebruikers een toepassing op een sessiehost van een toepassingsgroep gebruiken als een gebruiker zonder beheerdersrechten.

Id: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Actietype Machtigingen
Acties Geen
notActions Geen
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Geen

Inzender voor hostgroep voor bureaubladvirtualisatie

Met de rol Inzender van hostgroep voor bureaubladvirtualisatie kunt u alle aspecten van een hostgroep beheren. U hebt ook de rol Inzender voor virtuele machines nodig om virtuele machines te maken en de rollen Inzender voor bureaubladvirtualisatietoepassingsgroep en Bureaubladvirtualisatiewerkruimte om Azure Virtual Desktop te implementeren met behulp van de portal, of u kunt de rol Inzender voor bureaubladvirtualisatie gebruiken.

Id: e307426c-f9b6-4e81-87de-d99efb3c32bc

Actietype Machtigingen
Acties
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Geen
dataActions Geen
notDataActions Geen

Lezer van hostgroep voor bureaubladvirtualisatie

Met de rol Lezer van hostgroep bureaubladvirtualisatie kunt u alle aspecten van een hostgroep bekijken, maar zijn wijzigingen niet toegestaan.

Id: ceadfde2-b300-400a-ab7b-6143895aa822

Actietype Machtigingen
Acties
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Geen
dataActions Geen
notDataActions Geen

Inzender voor bureaubladvirtualisatietoepassingsgroep

Met de rol Inzender van toepassingsgroep voor bureaubladvirtualisatie kunt u alle aspecten van een toepassingsgroep beheren, met uitzondering van de gebruikers- of groepstoewijzing. Als u ook gebruikersaccounts of gebruikersgroepen wilt toewijzen aan toepassingsgroepen, hebt u ook de rol Beheerder voor gebruikerstoegang nodig.

Id: 86240b0e-9422-4c43-887b-b61143f32ba8

Actietype Machtigingen
Acties
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Geen
dataActions Geen
notDataActions Geen

Lezer van bureaubladvirtualisatietoepassingsgroep

Met de rol Lezer van bureaubladvirtualisatietoepassingsgroep kunt u alle aspecten van een toepassingsgroep weergeven, maar zijn wijzigingen niet toegestaan.

Id: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Actietype Machtigingen
Acties
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Geen
dataActions Geen
notDataActions Geen

Inzender voor bureaubladvirtualisatiewerkruimte

Met de rol Inzender bureaubladvirtualisatiewerkruimte kunt u alle aspecten van werkruimten beheren. Als u informatie wilt over toepassingen die zijn toegevoegd aan een gerelateerde toepassingsgroep, hebt u ook de rol Lezer van toepassingsgroep bureaubladvirtualisatie nodig.

Id: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Actietype Machtigingen
Acties
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Geen
dataActions Geen
notDataActions Geen

Lezer van bureaubladvirtualisatiewerkruimte

Met de rol Lezer van bureaubladvirtualisatiewerkruimte kunnen gebruikers alle aspecten van een werkruimte bekijken, maar zijn wijzigingen niet toegestaan.

Id: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Actietype Machtigingen
Acties
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Geen
dataActions Geen
notDataActions Geen

Gebruikerssessieoperator voor bureaubladvirtualisatie

Met de rol User Session Operator voor bureaubladvirtualisatie kunt u berichten verzenden, sessies loskoppelen en de afmeldingsfunctie gebruiken om gebruikers af te melden bij een sessiehost. Deze rol staat echter geen beheer van een hostgroep of sessiehost toe, zoals het verwijderen van een sessiehost, het wijzigen van de drainmodus, enzovoort. Deze rol kan toewijzingen zien, maar kan geen leden wijzigen. We raden u aan deze rol toe te wijzen aan specifieke hostgroepen. Als u deze rol toewijst op het niveau van een resourcegroep, biedt deze leesmachtiging voor alle hostgroepen onder een resourcegroep.

Id: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Actietype Machtigingen
Acties
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Geen
dataActions Geen
notDataActions Geen

Hostoperator voor bureaubladvirtualisatiesessies

Met de rol Hostoperator bureaubladvirtualisatiesessie kunt u sessiehosts weergeven en verwijderen en de drainmodus wijzigen. Deze rol kan geen sessiehosts toevoegen met behulp van de Azure Portal omdat deze geen schrijfmachtiging heeft voor hostpoolobjecten. Voor het toevoegen van sessiehosts buiten de Azure Portal, als het registratietoken geldig is (gegenereerd en niet verlopen), kan deze rol sessiehosts toevoegen aan de hostgroep als de rol Inzender voor virtuele machines ook is toegewezen.

Id: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Actietype Machtigingen
Acties
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Geen
dataActions Geen
notDataActions Geen

Bureaubladvirtualisatie Power On Inzender

De rol Power On-inzender voor bureaubladvirtualisatie wordt gebruikt om de Azure Virtual Desktop-resourceprovider toe te staan virtuele machines te starten.

Id: 489581de-a3bd-480d-9518-53dea7416b33

Actietype Machtigingen
Acties
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Geen
dataActions Geen
notDataActions Geen

Inzender voor bureaubladvirtualisatie uitschakelen

De rol Inzender voor bureaubladvirtualisatie aan/uit wordt gebruikt om de Azure Virtual Desktop-resourceprovider toe te staan virtuele machines te starten en te stoppen.

Id: 40c5ff49-9181-41f8-ae61-143b0e78555e

Actietype Machtigingen
Acties
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Geen
dataActions Geen
notDataActions Geen

Inzender voor virtuele bureaubladvirtualisatie

De rol Inzender voor virtuele machines voor bureaubladvirtualisatie wordt gebruikt om de Azure Virtual Desktop-resourceprovider toe te staan virtuele machines te maken, te verwijderen, bij te werken, te starten en te stoppen.

Id: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Actietype Machtigingen
Acties
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnetten/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Geen
dataActions Geen
notDataActions Geen