Azure 虚拟桌面基于角色的访问控制 (RBAC)

已完成

Azure 虚拟桌面使用 Azure 基于角色的访问控制 (RBAC) 为用户和管理员分配角色。 这些角色授予管理员权限来执行某些任务。

Azure 的标准内置角色包括:

  • 所有者
  • 参与者
  • 读者

但是,Azure 虚拟桌面具有其他角色,用于将主机池、应用程序组和工作区的管理角色分离开来。

这些角色的命名遵循 Azure 的标准角色和最低特权方法。

Azure 虚拟桌面没有特定的所有者角色。 但是,你可以对服务对象使用标准所有者角色。

下面是 Azure 虚拟桌面角色:

  • 桌面虚拟化参与者角色:允许你管理部署的所有方面。 但是,它不会授予你对计算资源的访问权限。 你还需要用户访问管理员角色,以向用户或用户组发布应用程序组。
  • 桌面虚拟化读者角色:允许你查看部署中的所有内容,但不允许进行任何更改。
  • 主机池参与者角色:允许你管理主机池的所有方面,包括对资源的访问。 你将需要额外的参与者角色“虚拟机参与者”来创建虚拟机。 你将需要应用程序组和工作区参与者角色,以使用门户创建主机池,或者可以使用桌面虚拟化参与者角色。
  • 主机池读者角色:允许你查看主机池中的所有内容,但不允许进行任何更改。
  • 应用程序组参与者角色:允许你管理应用组的所有方面。 如果要向用户或用户组发布应用程序组,则需要用户访问管理员角色。
  • 应用程序组读者角色:允许你查看应用组中的所有内容,但不会允许进行任何更改。
  • 工作区参与者角色:允许你管理工作区的所有方面。 若要获取有关添加到应用程序组中的应用程序的信息,还需具备“应用程序组读取者”角色。
  • 工作区读者角色:使你可以查看工作区中的所有内容,但不允许进行任何更改。
  • 用户会话操作员角色:允许你发送消息、断开会话,并使用“注销”功能从会话主机注销会话。 但是,此角色不允许你执行会话主机管理,如删除会话主机、更改排出模式等。 此角色可以查看分配,但不能修改管理员。 建议将此角色分配给特定的主机池。 如果在资源组级别授予此权限,则管理员将对资源组下的所有主机池具有读取权限。
  • 会话主机参与者角色:允许你查看和删除会话主机,以及更改排出模式。 它们不能使用 Azure 门户添加会话主机,因为它们没有对主机池对象的写入权限。 如果注册令牌有效(生成且未过期),并且管理员通过虚拟机参与者角色获得了计算权限,则可以使用此角色将会话主机添加到 Azure 门户外部的主机池。