Dela via

Inbyggda Azure RBAC-roller för Azure Virtual Desktop

Azure Virtual Desktop använder rollbaserad åtkomstkontroll i Azure (RBAC) för att styra åtkomsten till resurser. Det finns många inbyggda roller för användning med Azure Virtual Desktop som är en samling behörigheter. Du tilldelar roller till användare och administratörer och dessa roller ger behörighet att utföra vissa uppgifter. Mer information om Azure RBAC finns i Vad är Azure RBAC?

De inbyggda standardrollerna för Azure är Ägare, Deltagare och Läsare. Azure Virtual Desktop har dock fler roller som gör att du kan separera hanteringsroller för värdpooler, programgrupper och arbetsytor. Med den här separationen kan du få mer detaljerad kontroll över administrativa uppgifter. De här rollerna namnges i enlighet med Azures standardroller och metodik med lägsta behörighet. Azure Virtual Desktop har ingen specifik ägarroll, men du kan använda den allmänna ägarrollen för tjänstobjekten.

De inbyggda rollerna för Azure Virtual Desktop och behörigheterna för var och en beskrivs i den här artikeln. Du kan tilldela varje roll till det omfång du behöver. Vissa Azure Desktop-funktioner har specifika krav för det tilldelade omfånget, som du hittar i dokumentationen för den relevanta funktionen. Mer information finns i Förstå Rolldefinitioner för Azure och Förstå omfånget för Azure RBAC.

En fullständig lista över alla inbyggda roller finns i Inbyggda Roller i Azure.

Virtualiseringsdeltagare för skrivbord

Rollen Virtualiseringsdeltagare för skrivbord gör det möjligt att hantera alla dina Azure Virtual Desktop-resurser, förutom användar- eller grupptilldelning. Om du vill tilldela användarkonton eller användargrupper till resurser behöver du även rollen Administratör för användaråtkomst . Rollen Virtualiseringsdeltagare för skrivbord ger inte användarna åtkomst till beräkningsresurser.

ID: 082f0a83-3be5-4ba1-904c-961cca79b387

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Skrivbordsvirtualiseringsläsare

Rollen Virtualiseringsläsare för skrivbord tillåter visning av alla dina Azure Virtual Desktop-resurser, men tillåter inte ändringar.

ID: 49a72310-ab8d-41df-bbb0-79b649203868

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Användare av skrivbordsvirtualisering

Rollen Virtualiseringsanvändare för skrivbord tillåter användare att använda ett program på en sessionsvärd från en programgrupp som en icke-administrativ användare.

ID: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Åtgärdstyp Behörigheter
Åtgärder Ingen
notActions Ingen
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Ingen

Deltagare i värdpoolen för virtualisering av skrivbordsdatorer

Rollen Deltagare i värdpoolen för virtualiseringsskrivbord gör det möjligt att hantera alla aspekter av en värdpool. Du behöver också rollen Virtuell datordeltagare för att skapa virtuella datorer och rollen Deltagare för skrivbordsvirtualiseringsprogramgrupp och Skrivbordsvirtualiseringsarbetsyta för att distribuera Azure Virtual Desktop med hjälp av portalen, eller så kan du använda rollen Virtualiseringsdeltagare för skrivbord .

ID: e307426c-f9b6-4e81-87de-d99efb3c32bc

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Desktop Virtualization Host Pool Reader

Rollen Värdpoolsläsare för virtualisering för skrivbordsdatorer tillåter visning av alla aspekter av en värdpool, men tillåter inte ändringar.

ID: ceadfde2-b300-400a-ab7b-6143895aa822

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Deltagare i programgrupp för skrivbordsvirtualisering

Rollen Deltagare i programgrupp för skrivbordsvirtualisering gör det möjligt att hantera alla aspekter av en programgrupp, förutom användar- eller grupptilldelning. Om du också vill tilldela användarkonton eller användargrupper till programgrupper behöver du även rollen Administratör för användaråtkomst .

ID: 86240b0e-9422-4c43-887b-b61143f32ba8

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Application Group Reader för skrivbordsvirtualisering

Rollen Application Group Reader för skrivbordsvirtualisering tillåter visning av alla aspekter av en programgrupp, men tillåter inte ändringar.

ID: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Deltagare i skrivbordsvirtualiseringsarbetsyta

Rollen Deltagare för skrivbordsvirtualiseringsarbetsyta gör det möjligt att hantera alla aspekter av arbetsytor. Om du vill få information om program som lagts till i en relaterad programgrupp behöver du även rollen Programgruppläsare för skrivbordsvirtualisering .

ID: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Desktop Virtualization Workspace Reader

Rollen Desktop Virtualization Workspace Reader gör det möjligt för användare att visa alla aspekter av en arbetsyta, men tillåter inte ändringar.

ID: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Sessionsoperator för skrivbordsvirtualisering

Rollen Sessionsoperator för skrivbordsvirtualisering gör det möjligt att skicka meddelanden, koppla från sessioner och använda utloggningsfunktionen för att logga ut användare från en sessionsvärd. Den här rollen tillåter dock inte värdpools- eller sessionsvärdhantering som att ta bort en sessionsvärd, ändra avloppsläge och så vidare. Den här rollen kan se tilldelningar, men kan inte ändra medlemmar. Vi rekommenderar att du tilldelar den här rollen till specifika värdpooler. Om du tilldelar den här rollen på resursgruppsnivå ger den läsbehörighet för alla värdpooler under en resursgrupp.

ID: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Värdoperator för skrivbordsvirtualiseringssession

Med rollen Värdoperator för skrivbordsvirtualiseringssession kan du visa och ta bort sessionsvärdar och ändra avloppsläge. Den här rollen kan inte lägga till sessionsvärdar med hjälp av Azure Portal eftersom den inte har skrivbehörighet för värdpoolobjekt. Om du vill lägga till sessionsvärdar utanför Azure Portal, om registreringstoken är giltig (genererad och inte har upphört att gälla), kan den här rollen lägga till sessionsvärdar i värdpoolen om rollen Virtuell datordeltagare också har tilldelats.

ID: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Ingen
dataActions Ingen
notDataActions Ingen

Power On-deltagare för skrivbordsvirtualisering

Rollen Power On-deltagare för skrivbordsvirtualisering används för att tillåta azure virtual desktop-resursprovidern att starta virtuella datorer.

ID: 489581de-a3bd-480d-9518-53dea7416b33

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Ingen
dataActions Ingen
notDataActions Ingen

Power On Off-deltagare för skrivbordsvirtualisering

Rollen Power On Off-deltagare för skrivbordsvirtualisering används för att tillåta azure virtual desktop-resursprovidern att starta och stoppa virtuella datorer.

ID: 40c5ff49-9181-41f8-ae61-143b0e78555e

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Ingen
dataActions Ingen
notDataActions Ingen

Virtuell datordeltagare för skrivbordsvirtualisering

Rollen Virtualiseringsdeltagare för virtuell dator används för att tillåta azure virtual desktop-resursprovidern att skapa, ta bort, uppdatera, starta och stoppa virtuella datorer.

ID: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Åtgärdstyp Behörigheter
Åtgärder
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/diskar/read
  • Microsoft.Compute/diskar/skrivning
  • Microsoft.Compute/diskar/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Ingen
dataActions Ingen
notDataActions Ingen