Azure 虛擬桌面的內建 Azure RBAC 角色

發行項
05/13/2024

Azure 虛擬桌面會使用 Azure 角色型存取控制 (RBAC) 來控制資源的存取權。有許多可與 Azure 虛擬桌面一起使用的內建角色，它們是權限的集合。您可以將角色指派給使用者和管理員，這些角色會提供執行特定工作的權限。若要深入了解 Azure RBAC，請參閱什麼是 Azure RBAC？

Azure 的標準內建角色為擁有者、參與者和讀者。不過，Azure 虛擬桌面還有其他角色，可讓您將主機集區、應用程式群組和工作區的管理角色分開。將角色分開後，您便可更精細地控制系統管理工作。這些角色會依照 Azure 的標準角色和最低權限方法來命名。 Azure 虛擬桌面沒有特定的擁有者角色，但您可以使用服務物件的一般擁有者角色。

本文詳述了 Azure 虛擬桌面的內建角色和每個角色的權限。您可以將每個角色指派給您所需的範圍。某些 Azure 桌面功能對指派的範圍有特定的需求，您可以在相關功能的文件中找到這些需求。如需詳細資訊，請參閱了解 Azure 角色定義和了解 Azure RBAC 的範圍。

桌面虛擬化參與者

桌面虛擬化參與者角色可讓您管理您的所有 Azure 虛擬桌面資源。您也需要使用者存取系統管理員角色來將應用程式群組指派給使用者帳戶或使用者群組。此角色不會授與使用者對計算資源的存取權。

動作類型	權限
動作	Microsoft.DesktopVirtualization/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	無
dataActions	無
notDataActions	無

桌面虛擬化讀者

桌面虛擬化讀者角色允許檢視您的所有 Azure 虛擬桌面資源，但不允許進行變更。

動作類型	權限
動作	Microsoft.DesktopVirtualization//read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	無
dataActions	無
notDataActions	無

桌面虛擬化使用者

桌面虛擬化使用者角色允許使用者以非系統管理使用者身分使用應用程式群組中工作階段主機上的應用程式。

動作類型	權限
動作	無
notActions	無
dataActions	Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions	無

桌面虛擬化主機集區參與者

桌面虛擬化主機集區參與者角色允許管理主機集區的所有層面。您也需要虛擬機器參與者角色來建立虛擬機器，並且需要桌面虛擬化應用程式群組參與者和桌面虛擬化工作區參與者角色來使用入口網站部署 Azure 虛擬桌面，或者您也可以使用桌面虛擬化參與者角色。

動作類型	權限
動作	Microsoft.DesktopVirtualization/hostpools/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	無
dataActions	無
notDataActions	無

桌面虛擬化主機集區讀者

桌面虛擬化主機集區讀者角色允許檢視主機集區的所有層面，但不允許進行變更。

動作類型	權限
動作	Microsoft.DesktopVirtualization/hostpools//read Microsoft.DesktopVirtualization/hostpools/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	無
dataActions	無
notDataActions	無

桌面虛擬化應用程式群組參與者

桌面虛擬化應用程式群組參與者角色允許管理應用程式群組的所有層面。如果您也想將使用者帳戶或使用者群組指派給應用程式群組，則您也需要使用者存取系統管理員角色。

動作類型	權限
動作	Microsoft.DesktopVirtualization/applicationgroups/* Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	無
dataActions	無
notDataActions	無

桌面虛擬化應用程式群組讀者

桌面虛擬化應用程式群組讀者角色允許檢視應用程式群組的所有層面，但不允許進行變更。

動作類型	權限
動作	Microsoft.DesktopVirtualization/applicationgroups//read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	無
dataActions	無
notDataActions	無

桌面虛擬化工作區參與者

桌面虛擬化工作區參與者角色允許管理工作區的所有層面。若要取得新增至相關應用程式群組的應用程式的相關資訊，您也需要桌面虛擬化應用程式群組讀者角色。

動作類型	權限
動作	Microsoft.DesktopVirtualization/workspaces/* Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	無
dataActions	無
notDataActions	無

桌面虛擬化工作區讀者

桌面虛擬化工作區讀者角色允許使用者檢視工作區的所有層面，但不允許進行變更。

動作類型	權限
動作	Microsoft.DesktopVirtualization/workspaces/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/
notActions	無
dataActions	無
notDataActions	無

桌面虛擬化使用者工作階段操作者

桌面虛擬化使用者工作階段操作員角色允許傳送訊息、中斷工作階段連線，以及使用登出功能來將使用者從工作階段主機登出。不過，此角色不允許主機集區或工作階段主機管理，例如移除工作階段主機、變更清空模式等。此角色可以查看指派，但無法修改成員。建議您將此角色指派給特定的主機集區。如果您在資源群組層級指派此角色，它會提供對資源群組下的所有主機集區的讀取權限。

動作類型	權限
動作	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	無
dataActions	無
notDataActions	無

桌面虛擬化工作階段主機操作者

桌面虛擬化工作階段主機操作員角色允許檢視和移除工作階段主機，以及變更清空模式。此角色無法使用 Azure 入口網站新增工作階段主機，因為它沒有主機集區物件的寫入權限。對於在 Azure 入口網站外部新增工作階段主機，如果註冊權杖有效 (已產生且未過期)，並且還指派了虛擬機器參與者角色，則此角色可以將工作階段主機新增至主機集區。

動作類型	權限
動作	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	無
dataActions	無
notDataActions	無

桌面虛擬化啟動參與者

桌面虛擬化啟動參與者角色會用來讓 Azure 虛擬桌面資源提供者啟動虛擬機器。

動作類型	權限
動作	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	無
dataActions	無
notDataActions	無

桌面虛擬化啟動/關閉參與者

桌面虛擬化啟動/關閉參與者角色會用來讓 Azure 虛擬桌面資源提供者啟動和停止虛擬機器。

動作類型	權限
動作	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Insights/eventtypes/values/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	無
dataActions	無
notDataActions	無

桌面虛擬化虛擬機器參與者

桌面虛擬化虛擬機器參與者角色會用來讓 Azure 虛擬桌面資源提供者建立、刪除、更新、啟動和停止虛擬機器。

動作類型	權限
動作	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read Microsoft.Compute/availabilitySets/read Microsoft.Compute/availabilitySets/write Microsoft.Compute/availabilitySets/vmSizes/read Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/disks/delete Microsoft.Compute/galleries/read Microsoft.Compute/galleries/images/read Microsoft.Compute/galleries/images/versions/read Microsoft.Compute/images/read Microsoft.Compute/locations/usages/read Microsoft.Compute/locations/vmSizes/read Microsoft.Compute/operations/read Microsoft.Compute/skus/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/runCommand/action Microsoft.Compute/virtualMachines/extensions/read Microsoft.Compute/virtualMachines/extensions/write Microsoft.Compute/virtualMachines/extensions/delete Microsoft.Compute/virtualMachines/runCommands/read Microsoft.Compute/virtualMachines/runCommands/write Microsoft.Compute/virtualMachines/vmSizes/read Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/delete Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read Microsoft.KeyVault/vaults/deploy/action Microsoft.Storage/storageAccounts/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read
notActions	無
dataActions	無
notDataActions	無

共用方式為