Funções RBAC internas do Azure para a Área de Trabalho Virtual do Azure

  • Artigo

A Área de Trabalho Virtual do Azure usa o RBAC (controle de acesso baseado em função) do Azure para controlar o acesso aos recursos. Existem várias funções internas a serem usadas com a Área de Trabalho Virtual do Azure que são uma coleção de permissões. Você atribui funções a usuários e administradores, e essas funções concedem permissão para realizar determinadas tarefas. Para saber mais sobre o RBAC do Azure, confira O que é RBAC do Azure?

As funções internas padrão do Azure são Proprietário, Colaborador e Leitor. No entanto, a Área de Trabalho Virtual do Azure tem outras funções que lhe permitem separar as funções de gerenciamento para pools de host, grupos de aplicativos e workspaces. Essa separação permite um controle mais granular sobre as tarefas administrativas. Essas funções são nomeadas em conformidade com as funções padrões do Azure e a metodologia de privilégios mínimos. A Área de Trabalho Virtual do Azure não tem uma função de Proprietário específica, mas você pode usar a função de Proprietário geral para os objetos de serviço.

As funções internas para a Área de Trabalho Virtual do Azure e as permissões para cada uma estão detalhadas abaixo. Você pode atribuir cada função ao escopo necessário. Alguns recursos da Área de Trabalho do Azure têm requisitos específicos para o escopo atribuído, e você pode encontrá-los na documentação do recurso relevante. Para obter mais informações, confira Entender as definições de função do Azure e Entender o escopo do RBAC do Azure.

Colaborador de Virtualização da Área de Trabalho

A função de Colaborador de Virtualização da Área de Trabalho permite o gerenciamento de todos os recursos da Área de Trabalho Virtual do Azure. Você também precisa ter a função de Administrador de Acesso do Usuário para atribuir grupos de aplicativos a contas de usuários ou grupos de usuários. Essa função não concede aos usuários o acesso a recursos de computação.

Tipo de ação Permissões
Ações
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Leitor de Virtualização da Área de Trabalho

A função de Leitor de Virtualização da Área de Trabalho permite que você veja todos os recursos da Área de Trabalho Virtual do Azure, mas não permite alterações.

Tipo de ação Permissões
Ações
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Usuário de Virtualização de Área de Trabalho

A função de Usuário de Virtualização da Área de Trabalho permite que os usuários usem um aplicativo em um host de sessão de um grupo de aplicativos como um usuário não administrativo.

Tipo de ação Permissões
Ações Nenhum
notActions Nenhum
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Nenhum

Colaborador do Pool de Host de Virtualização da Área de Trabalho

A função de Colaborador do Pool de Hosts de Virtualização da Área de Trabalho permite gerenciar todos os aspectos de um pool de hosts. Você também precisa da função de Colaborador de Máquina Virtual para criar máquinas virtuais e as funções de Colaborador do Grupo de Aplicativos de Virtualização da Área de Trabalho e Colaborador do Workspace de Virtualização da Área de Trabalho para implantar a Área de Trabalho Virtual do Azure usando o portal, ou pode usar a função de Colaborador de Virtualização da Área de Trabalho.

Tipo de ação Permissões
Ações
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Leitor do Pool de Host de Virtualização da Área de Trabalho

A função de Leitor do Pool de Hosts de Virtualização da Área de Trabalho permite que você veja todos os aspectos de um pool de hosts, mas não permite alterações.

Tipo de ação Permissões
Ações
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Colaborador do Grupo de Aplicativos de Virtualização da Área de Trabalho

A função de Colaborador do Grupo de Aplicativos de Virtualização da Área de Trabalho permite o gerenciamento de todos os aspectos de um grupo de aplicativos. Se também quiser atribuir contas de usuários ou grupos de usuários a grupos de aplicativos, você também precisará da função de Administrador de Acesso do Usuário.

Tipo de ação Permissões
Ações
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Leitor do Grupo de Aplicativos de Virtualização da Área de Trabalho

A função de Leitor do Grupo de Aplicativos de Virtualização da Área de Trabalho permite que você veja todos os aspectos de um grupo de aplicativos, mas não permite alterações.

Tipo de ação Permissões
Ações
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Colaborador do Workspace de Virtualização da Área de Trabalho

A função de Colaborador de Workspace de Virtualização da Área de Trabalho permite o gerenciamento de todos os aspectos dos workspaces. Para obter informações sobre aplicativos adicionados aos grupos de aplicativos relacionado, você também precisa da função de Leitor do Grupo de Aplicativos de Virtualização da Área de Trabalho.

Tipo de ação Permissões
Ações
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Leitor do Workspace de Virtualização da Área de Trabalho

A função de Leitor de Workspace de Virtualização da Área de Trabalho permite que você veja todos os aspectos de um grupo de aplicativos, mas não permite alterações.

Tipo de ação Permissões
Ações
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Operador da Sessão do Usuário da Virtualização da Área de Trabalho

A função de Operador de Sessão do Usuário de Virtualização da Área de Trabalho permite enviar mensagens, desconectar sessões e usar a função logoff para desconectar os usuários de um host de sessão. No entanto, essa função não permite o gerenciamento do host da sessão ou do pool de hosts, como, por exemplo, remover o host da sessão, alterar o modo esvaziar e assim por diante. Essa função permite que você veja as atribuições, mas não permite modificar os membros. Recomendamos que você atribua essa função a pools de host específicos. Se você atribui-la no nível do grupo de recursos, essa função fornecerá permissão de leitura em todos os pools de hosts em um grupo de recursos.

Tipo de ação Permissões
Ações
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Operador do Host da Sessão de Virtualização da Área de Trabalho

A função de Operador de Host da Sessão de Virtualização da Área de Trabalho permite que você veja e remova hosts de sessão e altere o modo esvaziar. Essa função não permite adicionar hosts de sessão usando o portal do Azure porque a função não tem permissão de gravação para objetos do pool de hosts. Para adicionar hosts de sessão fora do portal do Azure, se o token de registro for válido (gerado e não expirado) essa função poderá adicionar hosts de sessão ao pool de hosts se a função de Colaborador de Máquina Virtual também estiver atribuída.

Tipo de ação Permissões
Ações
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Contribuidor de Ligar Virtualização da Área de Trabalho

A função de Colaborador de Ligar a Virtualização da Área de Trabalho permite que o Provedor de Recursos da Área de Trabalho Virtual do Azure ligue máquinas virtuais.

Tipo de ação Permissões
Ações
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Contribuidor de Ligar Desligar Virtualização da Área de Trabalho

A função de Colaborador de Ligar Desligar a Virtualização da Área de Trabalho permite que o Provedor de Recursos da Área de Trabalho Virtual do Azure ligue e pare máquinas virtuais.

Tipo de ação Permissões
Ações
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum

Contribuidor da Máquina Virtual de Virtualização da Área de Trabalho

A função de Colaborador de Máquina Virtual de Virtualização da Área de Trabalho permite que o Provedor de Recursos da Área de Trabalho Virtual do Azure crie, exclua, atualize, ligue e pare máquinas virtuais.

Tipo de ação Permissões
Ações
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/delete
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Nenhum
dataActions Nenhum
notDataActions Nenhum