Rollbaserad åtkomstkontroll (RBAC) för Azure Virtual Desktop

  • 5 minuter

Azure Virtual Desktop använder rollbaserade åtkomstkontroller i Azure (RBAC) för att tilldela roller till användare och administratörer. Dessa roller ger administratörer behörighet att utföra vissa uppgifter.

De inbyggda standardrollerna för Azure är:

  • Ägare
  • Deltagare
  • Läsare

Azure Virtual Desktop har dock ytterligare roller som gör att du kan separera hanteringsroller för värdpooler, appgrupper och arbetsytor.

De här rollerna namnges i enlighet med Azures standardroller och metod för lägsta behörighet.

Azure Virtual Desktop har ingen specifik ägarroll. Du kan dock använda en standardroll som ägare för tjänstobjekten.

Nedan visas Azure Virtual Desktop-rollerna:

  • Rollen Virtualiseringsdeltagare för skrivbord: Låter dig hantera alla aspekter av distributionen. Men du får inte åtkomst till beräkningsresurser. Du behöver också rollen Administratör för användaråtkomst för att publicera appgrupper till användare eller användargrupper.
  • Rollen Virtualiseringsläsare för skrivbord: Låter dig visa allt i distributionen, men du kan inte göra några ändringar.
  • Rollen Deltagare i värdpool: Gör att du kan hantera alla aspekter av värdpooler, inklusive åtkomst till resurser. Du behöver en extra deltagarroll, Virtual Machine Contributor, för att skapa virtuella datorer. Du behöver rollerna AppGroup- och Workspace-deltagare för att skapa värdpoolen med hjälp av portalen, eller så kan du använda rollen Virtualiseringsdeltagare för skrivbord.
  • Rollen Läsare av värdpool: Gör att du kan visa allt i värdpoolen, men du kan inte göra några ändringar.
  • Deltagarroll för programgrupper: Gör att du kan hantera alla aspekter av appgrupper. Om du vill publicera appgrupper till användare eller användargrupper behöver du rollen Administratör för användaråtkomst.
  • Programgruppläsarroll: Gör att du kan visa allt i appgruppen och inte tillåta att du gör några ändringar.
  • Rollen Deltagare i arbetsyta: Gör att du kan hantera alla aspekter av arbetsytor. För att få information om program som lagts till i appgrupperna måste du också tilldelas rollen Programgruppläsare.
  • Rollen Läsare av arbetsyta: Låter dig visa allt på arbetsytan, men du kan inte göra några ändringar.
  • Användarsessionsoperatorroll: Gör att du kan skicka meddelanden, koppla från sessioner och använda funktionen "utloggning" för att logga ut sessioner från sessionsvärden. Men med den här rollen kan du inte utföra sessionsvärdhantering som att ta bort sessionsvärd, ändra avtappningsläge och så vidare. Den här rollen kan se tilldelningar men kan inte ändra administratörer. Vi rekommenderar att du tilldelar den här rollen till specifika värdpooler. Om du ger den här behörigheten på resursgruppsnivå har administratören läsbehörighet för alla värdpooler under en resursgrupp.
  • Rollen Deltagare i sessionsvärd: Gör att du kan visa och ta bort sessionsvärdar och ändra tömningsläge. De kan inte lägga till sessionsvärdar med hjälp av Azure-portalen eftersom de inte har skrivbehörighet för värdpoolobjekt. Om registreringstoken är giltig (genererad och inte upphört att gälla) kan du använda den här rollen för att lägga till sessionsvärdar i värdpoolen utanför Azure-portalen om administratören har beräkningsbehörigheter via rollen Virtuell datordeltagare.