Управление доступом на основе ролей (RBAC) для Виртуального рабочего стола Azure
Для назначения ролей пользователям и администраторам Виртуальный рабочий стол Azure в Azure применяет метод управления доступом на основе ролей (RBAC). Эти роли предоставляют администраторские разрешения на выполнение определенных задач.
Стандартные встроенные роли для Azure:
- Владелец
- Участник
- Читатель
Однако на Виртуальных рабочих столах Azure имеются дополнительные роли. Эти роли позволяют разделять роли по области управления: для пулов узлов, для групп приложений и для рабочих областей.
Имена этих ролей соответствуют стандартным ролям Azure и методологии минимальных прав доступа.
Виртуальный рабочий стол Azure не имеет специализированных ролей в категории "Владелец". Однако для объектов службы можно использовать стандартную роль Владельца.
Ниже указаны роли Виртуального рабочего стола Azure:
- Роль "Участник виртуализации рабочих столов". Позволяет управлять всеми аспектами развертывания. Однако он не предоставляет доступ к вычислительным ресурсам. Кроме этого, вам потребуется роль "Администратор доступа пользователей", чтобы публиковать группы приложений для пользователей или групп пользователей.
- Роль "Читатель виртуализации рабочих столов". Позволяет просматривать все объекты в развертывании, но не позволяет вносить изменения.
- Роль "Участник пула узлов". Позволяет управлять всеми аспектами пулов узлов, включая доступ к ресурсам. Для создания виртуальных машин вам потребуются дополнительная роль участника: "Виртуальные машины, Участник". Для создания пула узлов с помощью портала вам потребуются роли участников "Приложение/Участник" и "Рабочая область/Участник", или вы можете использовать роль "Виртуализация рабочего стола, Участник".
- Роль "Читатель пула узлов". Позволяет просматривать все данные в пуле узлов, но не позволяет вносить изменения.
- Роль "Участник группы приложений". Позволяет управлять всеми аспектами групп приложений. Кроме этого, вам потребуется роль "Администратор доступа пользователей", чтобы публиковать группы приложений для пользователей или групп пользователей.
- Роль "Читатель группы приложений". Позволяет просматривать все данные в группе приложений, но не позволяет вносить изменения.
- Роль "Участник рабочей области". Позволяет управлять всеми аспектами рабочих областей. Чтобы получить сведения о приложениях, добавленных в группы приложений, необходимо также назначить роль "Группа приложений/Читатель".
- Роль "Читатель рабочей области".Позволяет просматривать все данные в рабочей области, но не позволяет вносить изменения.
- Роль "Оператор сеанса пользователя". Позволяет отправлять сообщения, отключать сеансы и использовать функцию "выход из системы" для вывода сеансов из узла сеансов. Однако эта роль не позволяет выполнять управление узлами сеансов, например удаление узла сеансов, изменение режима стока и т. д. Эта роль позволяет просматривать назначения, но не позволяет изменять администраторов. Рекомендуется назначить эту роль определенным пулам узлов. Если предоставить это разрешение на уровне группы ресурсов, администратор будет иметь разрешение на чтение всех пулов узлов в группе ресурсов.
- Роль "Участник узла сеансов". Позволяет просматривать и удалять узлы сеансов, а также изменять режим стока. Не дает права добавлять узлы сеансов с помощью портал Azure, так как не имеет разрешение на запись для объектов пула узлов. Если маркер регистрации действителен (создан и не просрочен), эту роль можно использовать для добавления узлов сеансов в пул узлов вне портала Azure, если администратор имеет разрешение на доступ к вычислительным ресурсам с использованием роли "Участник виртуальных машин".