Поделиться через

Встроенные роли Azure RBAC для Виртуального рабочего стола Azure

Виртуальный рабочий стол Azure использует управление доступом на основе ролей Azure (RBAC) для управления доступом к ресурсам. Существует множество встроенных ролей для использования с Виртуальным рабочим столом Azure, которые представляют собой коллекцию разрешений. Роли назначаются пользователям и администраторам, и эти роли дают разрешение на выполнение определенных задач. Дополнительные сведения об Azure RBAC см. в статье Что такое Azure RBAC.

Стандартные встроенные роли для Azure: владелец, участник и читатель. Однако Виртуальный рабочий стол Azure имеет больше ролей, которые позволяют разделять роли управления для пулов узлов, групп приложений и рабочих областей. Это разделение позволяет более детально контролировать административные задачи. Эти роли именуются в соответствии со стандартными ролями Azure и методологией минимальных привилегий. Виртуальный рабочий стол Azure не имеет определенной роли владельца, но для объектов службы можно использовать общую роль владельца.

Встроенные роли для Виртуального рабочего стола Azure и разрешения для каждого из них подробно описаны в этой статье. Вы можете назначить каждую роль нужному область. Некоторые функции Рабочего стола Azure имеют определенные требования к назначенному область, которые можно найти в документации по соответствующей функции. Дополнительные сведения см. в разделах Общие сведения об определениях ролей Azure и Общие сведения об область для Azure RBAC.

Полный список всех доступных встроенных ролей см. в статье Встроенные роли Azure.

Участник виртуализации рабочих столов

Роль Участник виртуализации рабочих столов позволяет управлять всеми ресурсами Виртуального рабочего стола Azure, кроме назначения пользователей или групп. Если вы хотите назначить учетные записи пользователей или группы пользователей ресурсам, вам также потребуется роль администратора доступа пользователей . Роль Участник виртуализации рабочих столов не предоставляет пользователям доступ к вычислительным ресурсам.

Идентификатор: 082f0a83-3be5-4ba1-904c-961cca79b387

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
NotActions Нет
dataActions Нет
notDataActions Нет

Средство чтения виртуализации рабочих столов

Роль читателя виртуализации рабочих столов позволяет просматривать все ресурсы Виртуального рабочего стола Azure, но не допускает изменения.

Идентификатор: 49a72310-ab8d-41df-bbb0-79b649203868

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
NotActions Нет
dataActions Нет
notDataActions Нет

Пользователь виртуализации рабочих столов

Роль "Пользователь виртуализации рабочего стола" позволяет пользователям использовать приложение на узле сеансов из группы приложений в качестве пользователя, не являющегося администратором.

Идентификатор: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Тип действия Разрешения
actions Нет
NotActions Нет
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Нет

Участник пула узлов виртуализации рабочих столов

Роль участника пула узлов виртуализации рабочих столов позволяет управлять всеми аспектами пула узлов. Вам также потребуется роль Участник виртуальной машины для создания виртуальных машин и роли Участник группы приложений виртуализации рабочихстолов и Участник рабочей области виртуализации рабочих столов для развертывания Виртуального рабочего стола Azure с помощью портала. Кроме того, вы можете использовать роль Участник виртуализации рабочих столов .

Идентификатор: e307426c-f9b6-4e81-87de-d99efb3c32bc

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
NotActions Нет
dataActions Нет
notDataActions Нет

Средство чтения пула узлов виртуализации рабочих столов

Роль читателя пула узлов виртуализации рабочих столов позволяет просматривать все аспекты пула узлов, но не допускает изменения.

Идентификатор: ceadfde2-b300-400a-ab7b-6143895aa822

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
NotActions Нет
dataActions Нет
notDataActions Нет

Участник группы приложений виртуализации рабочих столов

Роль Участник группы приложений виртуализации рабочих столов позволяет управлять всеми аспектами группы приложений, кроме назначения пользователя или группы. Если вы хотите назначить учетные записи пользователей или группы пользователей группам приложений, вам также потребуется роль администратора доступа пользователей .

Идентификатор: 86240b0e-9422-4c43-887b-b61143f32ba8

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
NotActions Нет
dataActions Нет
notDataActions Нет

Средство чтения группы приложений виртуализации рабочих столов

Роль читателя группы приложений виртуализации рабочих столов позволяет просматривать все аспекты группы приложений, но не допускает изменения.

Идентификатор: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
NotActions Нет
dataActions Нет
notDataActions Нет

Участник рабочей области виртуализации рабочих столов

Роль Участник рабочей области виртуализации рабочих столов позволяет управлять всеми аспектами рабочих областей. Чтобы получить сведения о приложениях, добавленных в связанную группу приложений, вам также потребуется роль читателя группы приложений виртуализации рабочего стола .

Идентификатор: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
NotActions Нет
dataActions Нет
notDataActions Нет

Средство чтения рабочей области виртуализации рабочих столов

Роль читателя рабочей области виртуализации рабочего стола позволяет пользователям просматривать все аспекты рабочей области, но не допускает изменения.

Идентификатор: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
NotActions Нет
dataActions Нет
notDataActions Нет

Оператор сеанса пользователя виртуализации рабочих столов

Роль "Оператор сеанса пользователя виртуализации рабочих столов" позволяет отправлять сообщения, отключать сеансы и использовать функцию выхода для выхода пользователей из узла сеансов. Однако эта роль не разрешает управление пулом узлов или узлом сеансов, например удаление узла сеанса, изменение режима стока и т. д. Эта роль может просматривать назначения, но не может изменять члены. Мы рекомендуем назначить эту роль определенным пулам узлов. Если назначить эту роль на уровне группы ресурсов, она предоставляет разрешение на чтение для всех пулов узлов в группе ресурсов.

Идентификатор: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
NotActions Нет
dataActions Нет
notDataActions Нет

Оператор узла сеансов виртуализации рабочих столов

Роль "Оператор узла сеансов виртуализации рабочего стола" позволяет просматривать и удалять узлы сеансов, а также изменять режим стока. Эта роль не может добавлять узлы сеансов с помощью портал Azure, так как у нее нет разрешения на запись для объектов пула узлов. При добавлении узлов сеансов за пределами портал Azure, если маркер регистрации действителен (создан и не истек), эта роль может добавить узлы сеансов в пул узлов, если также назначена роль Участник виртуальной машины.

Идентификатор: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
NotActions Нет
dataActions Нет
notDataActions Нет

Участник Power On для виртуализации рабочих столов

Роль Участника Power On для виртуализации рабочих столов позволяет поставщику ресурсов Виртуальных рабочих столов Azure запускать виртуальные машины.

Идентификатор: 489581de-a3bd-480d-9518-53dea7416b33

Тип действия Разрешения
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
NotActions Нет
dataActions Нет
notDataActions Нет

Участник включения выключения для виртуализации рабочих столов

Роль участника power On Off для виртуализации рабочих столов позволяет поставщику ресурсов Виртуального рабочего стола Azure запускать и останавливать виртуальные машины.

Идентификатор: 40c5ff49-9181-41f8-ae61-143b0e78555e

Тип действия Разрешения
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
NotActions Нет
dataActions Нет
notDataActions Нет

Участник виртуальной машины виртуализации рабочих столов

Роль Участник виртуальной машины виртуализации рабочих столов позволяет поставщику ресурсов Виртуального рабочего стола Azure создавать, удалять, обновлять, запускать и останавливать виртуальные машины.

Идентификатор: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
NotActions Нет
dataActions Нет
notDataActions Нет
  • Last updated on