RBAC (controle de acesso baseado em função) para a Área de Trabalho Virtual do Azure
A Área de Trabalho Virtual do Azure usa controles de acesso baseados em função (RBAC) do Azure para atribuir funções a usuários e administradores. Essas funções dão aos administradores permissão para executar determinadas tarefas.
As funções internas padrão para o Azure são:
- Proprietário
- Contribuinte
- Leitor
No entanto, a Área de Trabalho Virtual do Azure tem funções adicionais que permitem separar funções de gerenciamento para pools de hosts, grupos de aplicativos e espaços de trabalho.
Essas funções são nomeadas em conformidade com as funções padrão e a metodologia de privilégios mínimos do Azure.
A Área de Trabalho Virtual do Azure não tem uma função de Proprietário específica. No entanto, você pode usar uma função de proprietário padrão para os objetos de serviço.
Abaixo estão as funções da Área de Trabalho Virtual do Azure:
- Função de Colaborador da Virtualização de Desktop: Permite gerenciar todos os aspetos da implantação. No entanto, ele não concede acesso a recursos de computação. Você também precisará da função Administrador de Acesso de Usuário para publicar grupos de aplicativos para usuários ou grupos de usuários.
- Função Leitor de Virtualização de Desktop: Permite visualizar tudo na implantação, mas não permite que você faça alterações.
- A função de Colaborador do Pool de Hosts: Permite gerenciar todos os aspetos dos pools de hosts, incluindo o acesso a recursos. Você precisará de uma função de colaborador extra, Colaborador de Máquina Virtual, para criar máquinas virtuais. Você precisará das funções de colaborador AppGroup e Workspace para criar um pool de hosts usando o portal ou poderá usar a função de Colaborador do Desktop Virtualization.
- Função de Leitor do Pool de Hosts: Permite que você visualize tudo no pool de hosts , mas não permite que você faça alterações.
- Função de Colaborador do Grupo de Aplicativos: permite gerenciar todos os aspetos dos grupos de aplicativos. Se quiser publicar grupos de aplicativos para usuários ou grupos de usuários, você precisará da função de Administrador de Acesso de Usuário.
- Função Leitor de Grupo de Aplicativos: Permite que você visualize tudo no grupo de aplicativos e não permitirá que você faça alterações.
- Função de Colaborador do Espaço de Trabalho: Permite gerenciar todos os aspetos dos espaços de trabalho. Para obter informações sobre aplicativos adicionados aos grupos de aplicativos, você também precisará receber a função Leitor de Grupo de Aplicativos.
- Função Leitor de Espaço de Trabalho: Permite visualizar tudo no espaço de trabalho, mas não permite que você faça alterações.
- Função de Operador de Sessão de Usuário: Permite enviar mensagens, desconectar sessões e usar a função "logoff" para sair das sessões do host da sessão. No entanto, essa função não permite que você execute o gerenciamento de host de sessão, como remover o host de sessão, alterar o modo de drenagem e assim por diante. Essa função pode ver atribuições, mas não pode modificar administradores. Recomendamos que você atribua essa função a pools de hosts específicos. Se você conceder essa permissão em um nível de grupo de recursos, o administrador terá permissão de leitura em todos os pools de hosts em um grupo de recursos.
- Função de Colaborador do Host da Sessão: Permite visualizar e remover hosts de sessão e alterar o modo de drenagem. Eles não podem adicionar hosts de sessão usando o portal do Azure porque não têm permissão de gravação para objetos do pool de hosts. Se o token de registro for válido (gerado e não expirado), você poderá usar essa função para adicionar hosts de sessão ao pool de hosts fora do portal do Azure se o administrador tiver permissões de computação por meio da função de Colaborador de Máquina Virtual.