Встроенные роли Azure RBAC для Виртуального рабочего стола Azure

  • Статья

Виртуальный рабочий стол Azure использует управление доступом на основе ролей (RBAC) Azure для управления доступом к ресурсам. Существует множество встроенных ролей для использования с виртуальным рабочим столом Azure, которые являются коллекцией разрешений. Вы назначаете роли пользователям и администраторам, и эти роли предоставляют разрешение на выполнение определенных задач. Дополнительные сведения об Azure RBAC см. в статье Что такое Azure RBAC?.

Стандартные встроенные роли для Azure — владелец, участник и читатель. Однако виртуальный рабочий стол Azure содержит больше ролей, которые позволяют разделить роли управления для пулов узлов, групп приложений и рабочих областей. Это разделение позволяет более детально управлять задачами администрирования. Имена этих ролей соответствуют стандартным ролям Azure и методологии минимальных прав доступа. Виртуальный рабочий стол Azure не имеет определенной роли владельца, но вы можете использовать общую роль владельца для объектов службы.

Встроенные роли для виртуального рабочего стола Azure и разрешения для каждого из них подробно описаны в этой статье. Вы можете назначить каждую роль необходимой область. Некоторые функции рабочего стола Azure имеют определенные требования к назначенным область, которые можно найти в документации по соответствующей функции. Дополнительные сведения см. в статье "Общие сведения о определениях ролей Azure" и "Общие сведения о область для Azure RBAC".

Виртуализация рабочего стола, Участник

Роль участника виртуализации рабочих столов позволяет управлять всеми ресурсами виртуального рабочего стола Azure. Вам также нужна роль Администратор istrator для назначения группам приложений учетным записям пользователей или группам пользователей. Эта роль не предоставляет пользователям доступ к вычислительным ресурсам.

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Читатель виртуализации рабочих столов

Роль читателя виртуализации рабочих столов позволяет просматривать все ресурсы виртуального рабочего стола Azure, но не разрешает изменения.

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Пользователь виртуализации рабочих столов

Роль пользователя Виртуализации рабочего стола позволяет пользователям использовать приложение на узле сеансов из группы приложений в качестве пользователя, не являющегося администратором.

Тип действия Разрешения
actions нет
notActions нет
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions нет

Участник пула узлов виртуализации рабочих столов

Роль участника пула узлов виртуализации рабочих столов позволяет управлять всеми аспектами пула узлов. Вам также нужна роль участника виртуальной машины для создания виртуальных машин, а также роли участника группы приложений Виртуализации рабочих столов и участников рабочей области виртуализации рабочих столов Для развертывания виртуального рабочего стола Azure с помощью портала или с помощью роли участника виртуализации рабочего стола.

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Читатель пула узлов виртуализации рабочих столов

Роль читателя пула узлов виртуализации рабочих столов позволяет просматривать все аспекты пула узлов, но не разрешает изменения.

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Участник группы приложений виртуализации рабочих столов

Роль участника группы приложений виртуализации рабочего стола позволяет управлять всеми аспектами группы приложений. Если вы также хотите назначить учетные записи пользователей или группы пользователей группам приложений, вам также нужна роль Администратор istrator для доступа пользователей.

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Читатель группы приложений виртуализации рабочих столов

Роль читателя группы приложений виртуализации рабочих столов позволяет просматривать все аспекты группы приложений, но не разрешает изменения.

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Участник рабочей области виртуализации рабочих столов

Роль участника рабочей области Виртуализации рабочего стола позволяет управлять всеми аспектами рабочих областей. Чтобы получить сведения о приложениях, добавленных в связанную группу приложений, вам также нужна роль читателя группы приложений виртуализации рабочего стола.

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Читатель рабочей области виртуализации рабочих столов

Роль читателя рабочей области виртуализации рабочих столов позволяет пользователям просматривать все аспекты рабочей области, но не разрешает изменения.

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Оператор сеанса пользователей виртуализации рабочих столов

Роль оператора сеанса виртуализации рабочего стола позволяет отправлять сообщения, отключать сеансы и использовать функцию выхода пользователей из узла сеанса. Однако эта роль не позволяет пулу узлов или управлению узлами сеансов, таким как удаление узла сеанса, изменение режима очистки и т. д. Эта роль может видеть назначения, но не может изменять элементы. Рекомендуется назначить эту роль определенным пулам узлов. Если назначить эту роль на уровне группы ресурсов, она предоставляет разрешение на чтение всех пулов узлов в группе ресурсов.

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Оператор узла сеансов виртуализации рабочих столов

Роль оператора узла сеансов виртуализации рабочего стола позволяет просматривать и удалять узлы сеансов и изменять режим очистки. Эта роль не может добавлять узлы сеансов с помощью портал Azure, так как у него нет разрешения на запись для объектов пула узлов. Чтобы добавить узлы сеансов за пределами портал Azure, если маркер регистрации действителен (создан и не истек), эта роль может добавить узлы сеансов в пул узлов, если роль участника виртуальной машины также назначена.

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Участник с правами на включение виртуализации рабочих столов

Роль участника Power On для виртуализации рабочего стола используется для запуска виртуальных машин поставщиком ресурсов виртуального рабочего стола Azure.

Тип действия Разрешения
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions нет
dataActions нет
notDataActions нет

Участник с правами на включение и выключение виртуализации рабочих столов

Роль участника Power On Off для виртуализации рабочего стола используется для запуска и остановки виртуальных машин поставщика ресурсов виртуального рабочего стола Azure.

Тип действия Разрешения
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions нет
dataActions нет
notDataActions нет

Участник с правами на виртуальную машину для виртуализации рабочего стола

Роль участника виртуальной машины виртуализации рабочего стола используется для создания, удаления, обновления, запуска и остановки виртуальных машин поставщика ресурсов Виртуального рабочего стола Azure.

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions нет
dataActions нет
notDataActions Нет