Udostępnij przez

Wbudowane role RBAC platformy Azure dla usługi Azure Virtual Desktop

Usługa Azure Virtual Desktop używa kontroli dostępu opartej na rolach (RBAC) platformy Azure do kontrolowania dostępu do zasobów. Istnieje wiele wbudowanych ról do użycia z usługą Azure Virtual Desktop, które są kolekcją uprawnień. Role są przypisywane do użytkowników i administratorów, a te role dają uprawnienia do wykonywania określonych zadań. Aby dowiedzieć się więcej na temat kontroli dostępu opartej na rolach platformy Azure, zobacz What is Azure RBAC (Co to jest kontrola rbac platformy Azure).

Standardowe wbudowane role platformy Azure to Właściciel, Współautor i Czytelnik. Jednak usługa Azure Virtual Desktop ma więcej ról, które umożliwiają rozdzielenie ról zarządzania dla pul hostów, grup aplikacji i obszarów roboczych. Ta separacja umożliwia bardziej szczegółową kontrolę nad zadaniami administracyjnymi. Te role są nazwane zgodnie ze standardowymi rolami platformy Azure i metodologią najniższych uprawnień. Usługa Azure Virtual Desktop nie ma określonej roli właściciela, ale możesz użyć ogólnej roli Właściciela dla obiektów usługi.

Wbudowane role usługi Azure Virtual Desktop i uprawnienia dla każdego z nich zostały szczegółowo opisane w tym artykule. Każdą rolę można przypisać do zakresu, którego potrzebujesz. Niektóre funkcje usługi Azure Desktop mają określone wymagania dotyczące przypisanego zakresu, które można znaleźć w dokumentacji odpowiedniej funkcji. Aby uzyskać więcej informacji, zobacz Omówienie definicji ról platformy Azure i Omówienie zakresu kontroli dostępu opartej na rolach platformy Azure.

Aby uzyskać pełną listę wszystkich dostępnych wbudowanych ról, zobacz Role wbudowane platformy Azure.

Współautor wirtualizacji pulpitu

Rola Współautor wirtualizacji pulpitu umożliwia zarządzanie wszystkimi zasobami usługi Azure Virtual Desktop poza przypisaniem użytkownika lub grupy. Jeśli chcesz przypisać konta użytkowników lub grupy użytkowników do zasobów, musisz również mieć rolę administratora dostępu użytkowników . Rola Współautor wirtualizacji pulpitu nie udziela użytkownikom dostępu do zasobów obliczeniowych.

Identyfikator: 082f0a83-3be5-4ba1-904c-961cca79b387

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Czytnik wirtualizacji pulpitu

Rola Czytnik wirtualizacji pulpitu umożliwia wyświetlanie wszystkich zasobów usługi Azure Virtual Desktop, ale nie zezwala na zmiany.

Identyfikator: 49a72310-ab8d-41df-bbb0-79b649203868

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Użytkownik wirtualizacji pulpitu

Rola użytkownika wirtualizacji pulpitu umożliwia użytkownikom korzystanie z aplikacji na hoście sesji z grupy aplikacji jako użytkownik niead administracyjny.

Identyfikator: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Typ akcji Uprawnienia
akcje Brak
notActions Brak
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Brak

Współautor puli hostów wirtualizacji pulpitu

Rola Współautor puli hostów wirtualizacji pulpitu umożliwia zarządzanie wszystkimi aspektami puli hostów. Rola Współautor maszyny wirtualnej jest również potrzebna do tworzenia maszyn wirtualnych oraz ról Współautor grupy aplikacji wirtualizacji pulpitu i Współautor obszaru roboczego wirtualizacji pulpitu w celu wdrożenia usługi Azure Virtual Desktop przy użyciu portalu lub roli Współautor wirtualizacji pulpitu .

Identyfikator: e307426c-f9b6-4e81-87de-d99efb3c32bc

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Czytnik puli hostów wirtualizacji pulpitu

Rola Czytnik puli hostów wirtualizacji pulpitu umożliwia wyświetlanie wszystkich aspektów puli hostów, ale nie zezwala na zmiany.

Identyfikator: ceadfde2-b300-400a-ab7b-6143895aa822

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Współautor grupy aplikacji wirtualizacji pulpitu

Rola Współautor grupy aplikacji wirtualizacji pulpitu umożliwia zarządzanie wszystkimi aspektami grupy aplikacji oprócz przypisania użytkownika lub grupy. Jeśli chcesz również przypisać konta użytkowników lub grupy użytkowników do grup aplikacji, potrzebujesz również roli administratora dostępu użytkowników .

Identyfikator: 86240b0e-9422-4c43-887b-b61143f32ba8

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Czytnik grup aplikacji wirtualizacji pulpitu

Rola Czytelnik grupy aplikacji wirtualizacji pulpitu umożliwia wyświetlanie wszystkich aspektów grupy aplikacji, ale nie zezwala na zmiany.

Identyfikator: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Współautor obszaru roboczego wirtualizacji pulpitu

Rola Współautor obszaru roboczego wirtualizacji pulpitu umożliwia zarządzanie wszystkimi aspektami obszarów roboczych. Aby uzyskać informacje o aplikacjach dodanych do powiązanej grupy aplikacji, potrzebna jest również rola Czytelnik grupy aplikacji wirtualizacji pulpitu .

Identyfikator: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Czytnik obszarów roboczych wirtualizacji pulpitu

Rola Czytelnik obszaru roboczego wirtualizacji pulpitu umożliwia użytkownikom wyświetlanie wszystkich aspektów obszaru roboczego, ale nie zezwala na zmiany.

Identyfikator: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Operator sesji użytkownika wirtualizacji pulpitu

Rola Operator sesji użytkownika wirtualizacji pulpitu umożliwia wysyłanie komunikatów, rozłączanie sesji i używanie funkcji wylogowywania do wylogowywania użytkowników z hosta sesji. Jednak ta rola nie zezwala na zarządzanie pulą hostów ani hostami sesji, takie jak usuwanie hosta sesji, zmiana trybu opróżniania itd. Ta rola może wyświetlać przypisania, ale nie może modyfikować elementów członkowskich. Zalecamy przypisanie tej roli do określonych pul hostów. Jeśli przypiszesz tę rolę na poziomie grupy zasobów, zapewnia ona uprawnienie do odczytu dla wszystkich pul hostów w grupie zasobów.

Identyfikator: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Operator hosta sesji wirtualizacji pulpitu

Rola operatora hosta sesji wirtualizacji pulpitu umożliwia wyświetlanie i usuwanie hostów sesji oraz zmienianie trybu opróżniania. Ta rola nie może dodać hostów sesji przy użyciu Azure Portal, ponieważ nie ma uprawnień do zapisu obiektów puli hostów. W przypadku dodawania hostów sesji poza Azure Portal, jeśli token rejestracji jest prawidłowy (wygenerowany i nie wygasł), ta rola może dodać hosty sesji do puli hostów, jeśli przypisano również rolę Współautor maszyny wirtualnej.

Identyfikator: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Brak
dataActions Brak
notDataActions Brak

Program Power On Współautor wirtualizacji pulpitu

Rola Współautor usługi Power On wirtualizacji pulpitu służy do zezwalania dostawcy zasobów usługi Azure Virtual Desktop na uruchamianie maszyn wirtualnych.

Identyfikator: 489581de-a3bd-480d-9518-53dea7416b33

Typ akcji Uprawnienia
akcje
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Brak
dataActions Brak
notDataActions Brak

Współautor włączania zasilania wirtualizacji pulpitu

Rola Współautor dodatku Power On Off wirtualizacji pulpitu służy do zezwalania dostawcy zasobów usługi Azure Virtual Desktop na uruchamianie i zatrzymywanie maszyn wirtualnych.

Identyfikator: 40c5ff49-9181-41f8-ae61-143b0e78555e

Typ akcji Uprawnienia
akcje
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Brak
dataActions Brak
notDataActions Brak

Współautor maszyny wirtualnej wirtualizacji pulpitu

Rola Współautor maszyny wirtualnej wirtualizacji pulpitu służy do zezwalania dostawcy zasobów usługi Azure Virtual Desktop na tworzenie, usuwanie, aktualizowanie, uruchamianie i zatrzymywanie maszyn wirtualnych.

Identyfikator: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Typ akcji Uprawnienia
akcje
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Brak
dataActions Brak
notDataActions Brak
  • Last updated on