Op rollen gebaseerd toegangsbeheer (RBAC) voor Azure Virtual Desktop

  • 5 minuten

Azure Virtual Desktop maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (RBAC) om rollen toe te wijzen aan gebruikers en beheerders. Deze rollen geven beheerders toestemming om bepaalde taken uit te voeren.

De standaard ingebouwde rollen voor Azure zijn:

  • Eigenaar
  • Inzender
  • Lezer

Azure Virtual Desktop heeft echter extra rollen waarmee u beheerrollen kunt scheiden voor hostgroepen, app-groepen en werkruimten.

Deze rollen worden genoemd in overeenstemming met de standaardrollen van Azure en de methodologie met minimale bevoegdheden.

Azure Virtual Desktop heeft geen specifieke rol van eigenaar. U kunt echter een standaardrol Eigenaar gebruiken voor de serviceobjecten.

Hieronder ziet u de Azure Virtual Desktop-rollen:

  • Rol Inzender voor bureaubladvirtualisatie: hiermee kunt u alle aspecten van de implementatie beheren. Het biedt u echter geen toegang tot rekenresources. U hebt ook de rol Gebruikerstoegang Beheer istrator nodig om app-groepen te publiceren naar gebruikers of gebruikersgroepen.
  • Rol bureaubladvirtualisatielezer: Hiermee kunt u alles in de implementatie bekijken, maar kunt u geen wijzigingen aanbrengen.
  • De rol Inzender voor hostgroepen: hiermee kunt u alle aspecten van hostgroepen beheren, inclusief toegang tot resources. U hebt een extra inzenderrol, Inzender voor virtuele machines, nodig om virtuele machines te maken. U hebt de rol AppGroup en Workspace-inzender nodig om een hostgroep te maken met behulp van de portal of u kunt de rol Inzender voor bureaubladvirtualisatie gebruiken.
  • De rol Lezer van hostgroep: Hiermee kunt u alles in de hostgroep weergeven, maar kunt u geen wijzigingen aanbrengen.
  • Rol Inzender voor toepassingsgroepen: hiermee kunt u alle aspecten van app-groepen beheren. Als u app-groepen wilt publiceren naar gebruikers of gebruikersgroepen, hebt u de rol Gebruikerstoegang Beheer istrator nodig.
  • De rol Lezer van toepassingsgroep: Hiermee kunt u alles in de app-groep weergeven en kunt u geen wijzigingen aanbrengen.
  • Rol Inzender voor werkruimte: Hiermee kunt u alle aspecten van werkruimten beheren. Als u informatie wilt over toepassingen die zijn toegevoegd aan de app-groepen, moet u ook de rol Lezer van toepassingsgroep toewijzen.
  • De rol Werkruimtelezer: Hiermee kunt u alles in de werkruimte bekijken, maar kunt u geen wijzigingen aanbrengen.
  • Gebruikerssessieoperatorrol: Hiermee kunt u berichten verzenden, sessies verbreken en de functie Afmelden gebruiken om sessies af te melden bij de sessiehost. Met deze rol kunt u echter geen sessiehostbeheer uitvoeren, zoals het verwijderen van de sessiehost, het wijzigen van de afvoermodus, enzovoort. Deze rol kan toewijzingen zien, maar kan geen beheerders wijzigen. U wordt aangeraden deze rol toe te wijzen aan specifieke hostgroepen. Als u deze machtiging op resourcegroepsniveau geeft, heeft de beheerder leesmachtigingen voor alle hostgroepen onder een resourcegroep.
  • Rol Inzender voor sessiehost: hiermee kunt u sessiehosts weergeven en verwijderen en de afvoermodus wijzigen. Ze kunnen geen sessiehosts toevoegen met behulp van Azure Portal, omdat ze geen schrijfmachtiging hebben voor hostgroepobjecten. Als het registratietoken geldig is (gegenereerd en niet verlopen), kunt u deze rol gebruiken om sessiehosts toe te voegen aan de hostgroep buiten Azure Portal als de beheerder rekenmachtigingen heeft via de rol Inzender voor virtuele machines.