Поделиться через

Встроенные роли Azure RBAC для Виртуального рабочего стола Azure

  • Статья

Виртуальный рабочий стол Azure использует управление доступом на основе ролей (RBAC) Azure для управления доступом к ресурсам. Существует множество встроенных ролей для использования с виртуальным рабочим столом Azure, которые являются коллекцией разрешений. Вы назначаете роли пользователям и администраторам, и эти роли предоставляют разрешение на выполнение определенных задач. Дополнительные сведения об Azure RBAC см. в статье Что такое Azure RBAC?.

Стандартные встроенные роли для Azure — владелец, участник и читатель. Однако виртуальный рабочий стол Azure содержит больше ролей, которые позволяют разделить роли управления для пулов узлов, групп приложений и рабочих областей. Это разделение позволяет более детально управлять задачами администрирования. Имена этих ролей соответствуют стандартным ролям Azure и методологии минимальных прав доступа. Виртуальный рабочий стол Azure не имеет определенной роли владельца, но вы можете использовать общую роль владельца для объектов службы.

Встроенные роли для виртуального рабочего стола Azure и разрешения для каждого из них подробно описаны в этой статье. Вы можете назначить каждую роль нужной области. Некоторые функции рабочего стола Azure имеют определенные требования к назначенной области, которую можно найти в документации для соответствующей функции. Дополнительные сведения см. в статье "Общие сведения о определениях ролей Azure" и "Общие сведения" для Azure RBAC.

Виртуализация рабочего стола, Участник

Роль участника виртуализации рабочих столов позволяет управлять всеми ресурсами виртуального рабочего стола Azure. Вам также нужна роль администратора доступа пользователей для назначения группам приложений учетным записям пользователей или группам пользователей. Эта роль не предоставляет пользователям доступ к вычислительным ресурсам.

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Читатель виртуализации рабочих столов

Роль читателя виртуализации рабочих столов позволяет просматривать все ресурсы виртуального рабочего стола Azure, но не разрешает изменения.

Идентификатор: 49a72310-ab8d-41df-bbb0-79b649203868

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Пользователь виртуализации рабочих столов

Роль пользователя Виртуализации рабочего стола позволяет пользователям использовать приложение на узле сеансов из группы приложений в качестве пользователя, не являющегося администратором.

Идентификатор: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Тип действия Разрешения
actions нет
notActions нет
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions нет

Участник пула узлов виртуализации рабочих столов

Роль участника пула узлов виртуализации рабочих столов позволяет управлять всеми аспектами пула узлов. Вам также нужна роль участника виртуальной машины для создания виртуальных машин, а также роли участника группы приложений Виртуализации рабочих столов и участников рабочей области виртуализации рабочих столов Для развертывания виртуального рабочего стола Azure с помощью портала или с помощью роли участника виртуализации рабочего стола.

Идентификатор: e307426c-f9b6-4e81-87de-d99efb3c32bc

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Читатель пула узлов виртуализации рабочих столов

Роль читателя пула узлов виртуализации рабочих столов позволяет просматривать все аспекты пула узлов, но не разрешает изменения.

Идентификатор: ceadfde2-b300-400a-ab7b-6143895aa822

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Участник группы приложений виртуализации рабочих столов

Роль участника группы приложений виртуализации рабочего стола позволяет управлять всеми аспектами группы приложений. Если вы также хотите назначить учетные записи пользователей или группы пользователей группам приложений, вам также нужна роль администратора доступа пользователей.

Идентификатор: 86240b0e-9422-4c43-887b-b61143f32ba8

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Читатель группы приложений виртуализации рабочих столов

Роль читателя группы приложений виртуализации рабочих столов позволяет просматривать все аспекты группы приложений, но не разрешает изменения.

Идентификатор: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Участник рабочей области виртуализации рабочих столов

Роль участника рабочей области Виртуализации рабочего стола позволяет управлять всеми аспектами рабочих областей. Чтобы получить сведения о приложениях, добавленных в связанную группу приложений, вам также нужна роль читателя группы приложений виртуализации рабочего стола.

Идентификатор: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Читатель рабочей области виртуализации рабочих столов

Роль читателя рабочей области виртуализации рабочих столов позволяет пользователям просматривать все аспекты рабочей области, но не разрешает изменения.

Идентификатор: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Оператор сеанса пользователей виртуализации рабочих столов

Роль оператора сеанса виртуализации рабочего стола позволяет отправлять сообщения, отключать сеансы и использовать функцию выхода пользователей из узла сеанса. Однако эта роль не позволяет пулу узлов или управлению узлами сеансов, таким как удаление узла сеанса, изменение режима очистки и т. д. Эта роль может видеть назначения, но не может изменять элементы. Рекомендуется назначить эту роль определенным пулам узлов. Если назначить эту роль на уровне группы ресурсов, она предоставляет разрешение на чтение всех пулов узлов в группе ресурсов.

Идентификатор: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Оператор узла сеансов виртуализации рабочих столов

Роль оператора узла сеансов виртуализации рабочего стола позволяет просматривать и удалять узлы сеансов и изменять режим очистки. Эта роль не может добавлять узлы сеансов с помощью портал Azure, так как у него нет разрешения на запись для объектов пула узлов. Чтобы добавить узлы сеансов за пределами портал Azure, если маркер регистрации действителен (создан и не истек), эта роль может добавить узлы сеансов в пул узлов, если роль участника виртуальной машины также назначена.

Идентификатор: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions нет
dataActions нет
notDataActions нет

Участник с правами на включение виртуализации рабочих столов

Роль участника Power On для виртуализации рабочего стола используется для запуска виртуальных машин поставщиком ресурсов виртуального рабочего стола Azure.

Идентификатор: 489581de-a3bd-480d-9518-53dea7416b33

Тип действия Разрешения
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions нет
dataActions нет
notDataActions нет

Участник с правами на включение и выключение виртуализации рабочих столов

Роль участника Power On Off для виртуализации рабочего стола используется для запуска и остановки виртуальных машин поставщика ресурсов виртуального рабочего стола Azure.

Идентификатор: 40c5ff49-9181-41f8-ae61-143b0e7855e

Тип действия Разрешения
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions нет
dataActions нет
notDataActions нет

Участник с правами на виртуальную машину для виртуализации рабочего стола

Роль участника виртуальной машины виртуализации рабочего стола используется для создания, удаления, обновления, запуска и остановки виртуальных машин поставщика ресурсов Виртуального рабочего стола Azure.

Идентификатор: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Тип действия Разрешения
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions нет
dataActions нет
notDataActions Нет