Integrierte Azure RBAC-Rollen für Azure Virtual Desktop

  • Artikel

Azure Virtual Desktop verwendet die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure, um den Zugriff auf Ressourcen zu steuern. Es gibt zahlreiche integrierte Rollen für die Verwendung in Azure Virtual Desktop, bei denen es sich um eine Sammlung von Berechtigungen handelt. Sie weisen Benutzern und Administratoren Rollen zu, und diese Rollen erteilen die Berechtigung zum Ausführen bestimmter Aufgaben. Weitere Informationen zu Azure RBAC finden Sie im Abschnitt Was ist Azure RBAC?.

Die standardmäßigen integrierten Rollen für Azure sind Besitzer, Mitwirkender und Leser. Azure Virtual Desktop verfügt jedoch über zusätzliche Rollen, mit denen Sie Verwaltungsrollen für Hostpools, Anwendungsgruppen und Arbeitsbereiche trennen können. Diese Trennung ermöglicht Ihnen eine genauere Steuerung der administrativen Aufgaben. Diese Rollen sind gemäß den Azure-Standardrollen und der Methodik minimaler Berechtigungen benannt. Azure Virtual Desktop verfügt nicht über eine bestimmte Besitzerrolle, Sie können jedoch die allgemeine Rolle „Besitzer“ für die Dienstobjekte verwenden.

Die integrierten Rollen für Azure Virtual Desktop und die Berechtigungen für die einzelnen Rollen werden in diesem Artikel ausführlich beschrieben. Sie können jede Rolle dem benötigten Bereich zuweisen. Einige Azure Desktop-Features weisen spezifische Anforderungen für den zugewiesenen Bereich auf. Sie finden diese in der Dokumentation für das jeweilige Feature. Weitere Informationen finden Sie unter Grundlegendes zu Azure-Rollendefinitionen und Grundlegendes zum Bereich von Azure RBAC.

Desktopvirtualisierungsmitwirkender

Die Rolle „Mitwirkender der Desktopvirtualisierung“ ermöglicht die Verwaltung aller Azure Virtual Desktop-Ressourcen. Außerdem benötigen Sie die Rolle Benutzerzugriffsadministrator, um Benutzer*innen oder Benutzergruppen Anwendungsgruppen zuzuweisen. Diese Rolle gewährt Benutzer*innen jedoch keinen Zugriff auf Computeressourcen.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Desktopvirtualisierungsleser

Die Rolle „Leseberechtigter der Desktopvirtualisierung“ ermöglicht das Anzeigen aller Azure Virtual Desktop-Ressourcen, jedoch keine Änderungen.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Desktopvirtualisierungsbenutzer

Mit der Rolle „Desktopvirtualisierungsbenutzer“ können Benutzer*innen eine Anwendung auf einem Sitzungshost über eine Anwendungsgruppe als Nichtadministratorbenutzer*innen verwenden.

Aktionstyp Berechtigungen
Aktionen Keine
notActions Keine
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions Keine

Hostpoolmitwirkender für die Desktopvirtualisierung

Mit der Rolle „Mitwirkender des Hostpools für Desktopvirtualisierung“ können alle Aspekte eines Hostpools verwaltet werden. Für die Erstellung von VMs benötigen Sie außerdem die Rolle Mitwirkender für VM und für die Bereitstellung von Azure Virtual Desktop über das Portal die Rollen Mitwirkender der Anwendungsgruppe für Desktopvirtualisierung und Mitwirkender des Arbeitsbereichs für Desktopvirtualisierung. Sie können aber auch die Rolle Mitwirkender der Desktopvirtualisierung verwenden.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Hostpoolleser für die Desktopvirtualisierung

Die Rolle „Leser des Hostpools für Desktopvirtualisierung“ ermöglicht das Anzeigen aller Aspekte eines Hostpools, jedoch keine Änderungen.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Anwendungsgruppenmitwirkender für die Desktopvirtualisierung

Mit der Rolle „Mitwirkender der Anwendungsgruppe für Desktopvirtualisierung“ können alle Aspekte von Anwendungsgruppen verwaltet werden. Wenn Sie Benutzerkonten oder Benutzergruppen Anwendungsgruppen zuweisen möchten, benötigen Sie außerdem die Rolle Benutzerzugriffsadministrator.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Anwendungsgruppenleser für die Desktopvirtualisierung

Die Rolle „Leser der Anwendungsgruppe für Desktopvirtualisierung“ ermöglicht das Anzeigen aller Aspekte einer Anwendungsgruppe, jedoch keine Änderungen.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Arbeitsbereichsmitwirkender für die Desktopvirtualisierung

Mit der Rolle „Mitwirkender des Arbeitsbereichs für Desktopvirtualisierung“ können alle Aspekte von Arbeitsbereichen verwaltet werden. Um Informationen über Anwendungen zu erhalten, die einer zugehörigen Anwendungsgruppe hinzugefügt wurden, benötigen Sie außerdem die Rolle Leser der Anwendungsgruppe für Desktopvirtualisierung.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Arbeitsbereichsleser für die Desktopvirtualisierung

Die Rolle „Leser des Arbeitsbereichs für Desktopvirtualisierung“ ermöglicht Benutzer*innen das Anzeigen aller Aspekte eines Arbeitsbereichs, jedoch keine Änderungen.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Benutzersitzungsoperator für die Desktopvirtualisierung

Mit der Rolle „Operator der Benutzersitzung für Desktopvirtualisierung“ können Benutzer*innen Nachrichten senden, Sitzungen trennen und die Funktion Abmelden verwenden, um Benutzer*innen beim Sitzungshost abzumelden. Mit dieser Rolle können Sie jedoch keine Aktionen zur Hostpool- oder Sitzungshostverwaltung wie Entfernen eines Sitzungshosts, Ändern des Ausgleichsmodus usw. durchführen. Diese Rolle kann Zuweisungen anzeigen, aber keine Mitglieder ändern. Es wird empfohlen, diese Rolle bestimmten Hostpools zuzuweisen. Wenn Sie diese Rolle auf Ressourcengruppenebene zuweisen, wird die Leseberechtigung für alle Hostpools unter einer Ressourcengruppe erteilt.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Sitzungshostoperator für die Desktopvirtualisierung

Mit der Rolle „Operator des Sitzungshosts für Desktopvirtualisierung“ können Benutzer*innen Sitzungshosts anzeigen und entfernen sowie den Ausgleichsmodus ändern. Diese Rolle kann keine Sitzungshosts mithilfe des Azure-Portals hinzufügen, da sie nicht über die Schreibberechtigung für Hostpoolobjekte verfügt. Beim Hinzufügen von Sitzungshosts außerhalb des Azure-Portals gilt Folgendes: Wenn das Registrierungstoken gültig ist (erzeugt und nicht abgelaufen), kann diese Rolle dem Hostpool Sitzungshosts hinzufügen, wenn zudem die Rolle Mitwirkender für VM zugewiesen wurde.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions Keine
dataActions Keine
notDataActions Keine

Desktop Virtualization Power On-Mitwirkender

Mithilfe der Rolle „Power On-Mitwirkender für Desktopvirtualisierung“ kann der Azure Virtual Desktop-Ressourcenanbieter VMs starten.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Keine
dataActions Keine
notDataActions Keine

Desktop Virtualization Power Off-Mitwirkender

Mithilfe der Rolle „Power On/Off-Mitwirkender für Desktopvirtualisierung“ kann der Azure Virtual Desktop-Ressourcenanbieter VMs starten und beenden.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions Keine
dataActions Keine
notDataActions Keine

Mitwirkender für Desktop Virtualization-VMs

Mithilfe der Rolle „Mitwirkender für Desktopvirtualisierungs-VM“ kann der Azure Virtual Desktop-Ressourcenanbieter VMs erstellen, löschen, aktualisieren, starten und beenden.

Aktionstyp Berechtigungen
Aktionen
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions Keine
dataActions Keine
notDataActions Keine