Управление доступом на основе ролей (RBAC) для Виртуального рабочего стола Azure
Виртуальный рабочий стол Azure использует управление доступом на основе ролей (RBAC) Azure для управления доступом к ресурсам. Существует множество встроенных ролей для использования с виртуальным рабочим столом Azure, которые являются коллекцией разрешений. Вы назначаете роли пользователям и администраторам, и эти роли предоставляют разрешение на выполнение определенных задач.
Стандартные встроенные роли для Azure — владелец, участник и читатель. Однако виртуальный рабочий стол Azure содержит больше ролей, которые позволяют разделить роли управления для пулов узлов, групп приложений и рабочих областей. Это разделение позволяет более детально управлять задачами администрирования. Имена этих ролей соответствуют стандартным ролям Azure и методологии минимальных прав доступа. Виртуальный рабочий стол Azure не имеет определенной роли владельца, но вы можете использовать общую роль владельца для объектов службы.
Встроенные роли для виртуального рабочего стола Azure и разрешения для каждого из них подробно описаны в этой статье. Вы можете назначить каждую роль нужной области. Некоторые функции рабочего стола Azure имеют определенные требования к назначенной области, которую можно найти в документации для соответствующей функции. Дополнительные сведения см. в статье "Общие сведения о определениях ролей Azure" и "Общие сведения" для Azure RBAC.
Виртуализация рабочего стола, Участник
Роль участника виртуализации рабочих столов позволяет управлять всеми ресурсами виртуального рабочего стола Azure. Вам также нужна роль администратора доступа пользователей для назначения группам приложений учетным записям пользователей или группам пользователей. Эта роль не предоставляет пользователям доступ к вычислительным ресурсам.
Пользователь виртуализации рабочих столов
Роль пользователя Виртуализации рабочего стола позволяет пользователям использовать приложение на узле сеансов из группы приложений в качестве пользователя, не являющегося администратором.
Участник пула узлов виртуализации рабочих столов
Роль участника пула узлов виртуализации рабочих столов позволяет управлять всеми аспектами пула узлов. Вам также нужна роль участника виртуальной машины для создания виртуальных машин, а также роли участника группы приложений Виртуализации рабочих столов и участников рабочей области виртуализации рабочих столов Для развертывания виртуального рабочего стола Azure с помощью портала или с помощью роли участника виртуализации рабочего стола.
Участник группы приложений виртуализации рабочих столов
Роль участника группы приложений виртуализации рабочего стола позволяет управлять всеми аспектами группы приложений. Если вы также хотите назначить учетные записи пользователей или группы пользователей группам приложений, вам также нужна роль администратора доступа пользователей.
Участник рабочей области виртуализации рабочих столов
Роль участника рабочей области Виртуализации рабочего стола позволяет управлять всеми аспектами рабочих областей. Чтобы получить сведения о приложениях, добавленных в связанную группу приложений, вам также нужна роль читателя группы приложений виртуализации рабочего стола.
Оператор сеанса пользователей виртуализации рабочих столов
Роль оператора сеанса виртуализации рабочего стола позволяет отправлять сообщения, отключать сеансы и использовать функцию выхода пользователей из узла сеанса. Однако эта роль не позволяет пулу узлов или управлению узлами сеансов, таким как удаление узла сеанса, изменение режима очистки и т. д. Эта роль может видеть назначения, но не может изменять элементы. Рекомендуется назначить эту роль определенным пулам узлов. Если назначить эту роль на уровне группы ресурсов, она предоставляет разрешение на чтение всех пулов узлов в группе ресурсов.
Оператор узла сеансов виртуализации рабочих столов
Роль оператора узла сеансов виртуализации рабочего стола позволяет просматривать и удалять узлы сеансов и изменять режим очистки. Эта роль не может добавлять узлы сеансов с помощью портал Azure, так как у него нет разрешения на запись для объектов пула узлов. Чтобы добавить узлы сеансов за пределами портал Azure, если маркер регистрации действителен (создан и не истек), эта роль может добавить узлы сеансов в пул узлов, если роль участника виртуальной машины также назначена.
Участник с правами на включение виртуализации рабочих столов
Роль участника Power On для виртуализации рабочего стола используется для запуска виртуальных машин поставщиком ресурсов виртуального рабочего стола Azure.
Участник с правами на включение и выключение виртуализации рабочих столов
Роль участника Power On Off для виртуализации рабочего стола используется для запуска и остановки виртуальных машин поставщика ресурсов виртуального рабочего стола Azure.
Участник с правами на виртуальную машину для виртуализации рабочего стола
Роль участника виртуальной машины виртуализации рабочего стола используется для создания, удаления, обновления, запуска и остановки виртуальных машин поставщика ресурсов Виртуального рабочего стола Azure.