Funções internas do Azure RBAC para a Área de Trabalho Virtual do Azure

  • Artigo

A Área de Trabalho Virtual do Azure usa o RBAC (controle de acesso baseado em função) do Azure para controlar o acesso aos recursos. Há muitas funções internas para uso com a Área de Trabalho Virtual do Azure que são uma coleção de permissões. Você atribui funções a usuários e administradores e essas funções dão permissão para executar determinadas tarefas. Para saber mais sobre o Azure RBAC, consulte O que é o Azure RBAC?.

As funções internas padrão para o Azure são Proprietário, Colaborador e Leitor. No entanto, a Área de Trabalho Virtual do Azure tem mais funções que permitem separar funções de gerenciamento para pools de hosts, grupos de aplicativos e espaços de trabalho. Essa separação permite que você tenha um controle mais granular sobre as tarefas administrativas. Essas funções são nomeadas em conformidade com as funções padrão e a metodologia de privilégios mínimos do Azure. A Área de Trabalho Virtual do Azure não tem uma função Proprietário específica, mas você pode usar a função Proprietário geral para os objetos de serviço.

As funções internas para a Área de Trabalho Virtual do Azure e as permissões para cada uma delas são detalhadas neste artigo. Você pode atribuir cada função ao escopo necessário. Alguns recursos da Área de Trabalho do Azure têm requisitos específicos para o escopo atribuído, que você pode encontrar na documentação do recurso relevante. Para obter mais informações, consulte Compreender as definições de função do Azure e Compreender o escopo do RBAC do Azure.

Colaborador do Desktop Virtualization

A função de Colaborador da Virtualização de Área de Trabalho permite gerenciar todos os recursos da Área de Trabalho Virtual do Azure. Você também precisa da função Administrador de Acesso de Usuário para atribuir grupos de aplicativos a contas de usuários ou grupos de usuários. Essa função não concede aos usuários acesso a recursos de computação.

Tipo de ação Permissões
ações
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma

Leitor de virtualização de desktop

A função Leitor de Virtualização de Área de Trabalho permite exibir todos os recursos da Área de Trabalho Virtual do Azure, mas não permite alterações.

Tipo de ação Permissões
ações
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma

Usuário do Desktop Virtualization

A função Usuário do Desktop Virtualization permite que os usuários usem um aplicativo em um host de sessão de um grupo de aplicativos como um usuário não administrativo.

Tipo de ação Permissões
ações Nenhuma
notAções Nenhuma
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Nenhuma

Colaborador do Pool de Host de Virtualização de Área de Trabalho

A função de Colaborador do Pool de Host da Virtualização de Área de Trabalho permite gerenciar todos os aspetos de um pool de hosts. Você também precisa da função Colaborador de Máquina Virtual para criar máquinas virtuais e as funções de Colaborador do Grupo de Aplicativos de Virtualização de Área de Trabalho e Colaborador do Espaço de Trabalho de Virtualização de Área de Trabalho para implantar a Área de Trabalho Virtual do Azure usando o portal, ou você pode usar a função de Colaborador de Virtualização de Área de Trabalho.

Tipo de ação Permissões
ações
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma

Leitor de Pool de Host de Virtualização de Área de Trabalho

A função Leitor de Pool de Host de Virtualização de Área de Trabalho permite exibir todos os aspetos de um pool de hosts, mas não permite alterações.

Tipo de ação Permissões
ações
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma

Colaborador do Grupo de Aplicativos de Virtualização de Área de Trabalho

A função de Colaborador do Grupo de Aplicativos de Virtualização de Área de Trabalho permite gerenciar todos os aspetos de um grupo de aplicativos. Se você quiser atribuir contas de usuário ou grupos de usuários a grupos de aplicativos também, também precisará da função Administrador de Acesso de Usuário .

Tipo de ação Permissões
ações
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma

Leitor de grupo de aplicativos de virtualização de área de trabalho

A função Leitor de Grupo de Aplicativos de Virtualização de Área de Trabalho permite exibir todos os aspetos de um grupo de aplicativos, mas não permite alterações.

Tipo de ação Permissões
ações
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma

Colaborador do Desktop Virtualization Workspace

A função de Colaborador do Espaço de Trabalho de Virtualização de Área de Trabalho permite gerenciar todos os aspetos dos espaços de trabalho. Para obter informações sobre aplicativos adicionados a um grupo de aplicativos relacionado, você também precisa da função Leitor de Grupo de Aplicativos de Virtualização de Desktop.

Tipo de ação Permissões
ações
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma

Leitor de espaço de trabalho de virtualização de área de trabalho

A função Leitor de Espaço de Trabalho de Virtualização de Área de Trabalho permite que os usuários visualizem todos os aspetos de um espaço de trabalho, mas não permite alterações.

Tipo de ação Permissões
ações
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma

Operador de sessão de usuário do Desktop Virtualization

A função Operador de Sessão de Usuário da Virtualização de Área de Trabalho permite enviar mensagens, desconectar sessões e usar a função de logoff para excluir usuários de um host de sessão. No entanto, essa função não permite o pool de hosts ou o gerenciamento de host de sessão, como remover um host de sessão, alterar o modo de drenagem e assim por diante. Essa função pode ver atribuições, mas não pode modificar membros. Recomendamos que você atribua essa função a pools de hosts específicos. Se você atribuir essa função em um nível de grupo de recursos, ela fornecerá permissão de leitura em todos os pools de hosts em um grupo de recursos.

Tipo de ação Permissões
ações
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma

Operador de Host de Sessão de Virtualização de Desktop

A função Operador de Host de Sessão de Virtualização de Área de Trabalho permite visualizar e remover hosts de sessão e alterar o modo de drenagem. Essa função não pode adicionar hosts de sessão usando o portal do Azure porque não tem permissão de gravação para objetos do pool de hosts. Para adicionar hosts de sessão fora do portal do Azure, se o token de registro for válido (gerado e não expirado), essa função poderá adicionar hosts de sessão ao pool de hosts se a função de Colaborador de Máquina Virtual também for atribuída.

Tipo de ação Permissões
ações
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma

Contribuidor Power On da virtualização de desktop

A função de Colaborador Power On da Virtualização de Área de Trabalho é usada para permitir que o Provedor de Recursos de Área de Trabalho Virtual do Azure inicie máquinas virtuais.

Tipo de ação Permissões
ações
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/leitura
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma

Contribuidor Power On Off da virtualização de desktop

A função Colaborador Power On Off da Virtualização de Área de Trabalho é usada para permitir que o Provedor de Recursos de Área de Trabalho Virtual do Azure inicie e pare máquinas virtuais.

Tipo de ação Permissões
ações
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/leitura
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deslocalizar/ação
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma

Colaborador de Máquina Virtual de Virtualização de Desktop

A função de Colaborador de Máquina Virtual de Virtualização de Área de Trabalho é usada para permitir que o Provedor de Recursos de Área de Trabalho Virtual do Azure crie, exclua, atualize, inicie e pare máquinas virtuais.

Tipo de ação Permissões
ações
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/discos/leitura
  • Microsoft.Compute/discos/gravação
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/leitura
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/eliminar
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deslocalizar/ação
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/leitura
  • Microsoft.Network/networkInterfaces/gravação
  • Microsoft.Network/networkInterfaces/leitura
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/sub-redes/leitura
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notAções Nenhuma
dataActions Nenhuma
notDataActions Nenhuma