Roles de Azure RBAC integrados de Azure Virtual Desktop

  • Artículo
  • Tiempo de lectura: 5 minutos

Azure Virtual Desktop usa el control de acceso basado en rol (RBAC) de Azure para controlar el acceso a los recursos. Hay una serie de roles integrados para su uso con Azure Virtual Desktop, que es una colección de permisos. Se asignan roles a usuarios y administradores que conceden permiso para llevar a cabo determinadas tareas. Para obtener más información sobre Azure RBAC, consulte: ¿En qué consiste Azure RBAC?.

Los roles integrados estándar de Azure son Propietario, Colaborador y Lector. Sin embargo, Azure Virtual Desktop tiene roles adicionales que le permiten separar roles de administración para grupos de hosts, grupos de aplicaciones y áreas de trabajo. Esta separación le permite tener un control más preciso sobre las tareas administrativas. Estos roles se denominan conforme a los roles estándar de Azure y a la metodología de privilegios mínimos.

Azure Virtual Desktop no tiene un rol Propietario específico. Sin embargo, puede usar el rol general de Propietario para los objetos de servicio.

A continuación se detallan los roles integrados para Azure Virtual Desktop y los permisos de cada uno. El ámbito asignable para todos los roles integrados se establece en el ámbito raíz ("/"). El ámbito raíz indica que el rol está disponible para su asignación en todos los ámbitos, por ejemplo, grupos de administración, suscripciones o grupos de recursos. Para más información, consulte Descripción de definiciones de roles de Azure.

Colaborador de virtualización del escritorio

El rol Colaborador de Desktop Virtualization permite a los usuarios administrar todos los aspectos de la implementación. Sin embargo, no les concede acceso a los recursos de proceso. También necesitará el rol Administrador de acceso de usuario para publicar grupos de aplicaciones para usuarios o grupos de usuarios.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lector de virtualización del escritorio

El rol Lector de Desktop Virtualization permite a los usuarios ver todo lo que hay en la implementación, pero no les permite realizar ningún cambio.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Usuario de Desktop Virtualization

El rol de Usuario de Desktop Virtualization permite a los usuarios usar las aplicaciones en un grupo de aplicaciones.

Tipo de acción Permisos
actions None
notActions None
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions None

Colaborador del grupo de hosts de Desktop Virtualization

El rol de Colaborador del grupo de hosts de Desktop Virtualization permite a los usuarios administrar todos los aspectos de los grupos de hosts, incluido el acceso a los recursos. Para crear máquinas virtuales también va a necesitar el rol de Colaborador de máquina virtual. Necesitará los roles de Colaborador del grupo de aplicaciones y de Colaborador del área de trabajo de Desktop Virtualization para crear grupos de hosts mediante el portal o bien, usar el rol Colaborador de Desktop Virtualization.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lector del grupo de hosts de Desktop Virtualization

El rol Lector del grupo de hosts de Desktop Virtualization permite a los usuarios ver todo lo que hay en el grupo de hosts, pero no les permite realizar ningún cambio.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Colaborador del grupo de aplicaciones de Desktop Virtualization

El rol de Colaborador del grupo de aplicaciones de Desktop Virtualization les permite a los usuarios administrar todos los aspectos de los grupos de aplicaciones. Si desea que los usuarios publiquen grupos de aplicaciones para usuarios o grupos de usuarios, también necesitarán el rol Administrador de acceso de usuario.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lector del grupo de aplicaciones de Desktop Virtualization

El rol Lector del grupo de aplicaciones de Desktop Virtualization permite a los usuarios ver todo lo que hay en el grupo de aplicaciones y no les permitirá realizar ningún cambio.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Colaborador del área de trabajo de Desktop Virtualization

El rol Colaborador del área de trabajo de Desktop Virtualization permite a los usuarios administrar todos los aspectos de las áreas de trabajo. Para más información sobre las aplicaciones agregadas a los grupos de aplicaciones, también deben tener asignado el rol Lector del grupo de aplicaciones.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lector del área de trabajo de Desktop Virtualization

El rol Lector del área de trabajo de Desktop Virtualization permite a los usuarios ver todo lo que hay en el área de trabajo, pero no les permite realizar ningún cambio.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Operador de sesión de usuario de Desktop Virtualization

El rol de Operador de sesión de usuario de Desktop Virtualization les permite a los usuarios enviar mensajes, desconectar sesiones y usar la función cerrar sesión para cerrar sesiones fuera del host de sesión. Sin embargo, este rol no permite a los usuarios realizar operaciones de administración del host de sesión como quitar el host de sesión, cambiar el modo de purga, etc. Con este rol puede ver las asignaciones, pero no puede modificar los administradores. Se recomienda asignar este rol a grupos de hosts específicos. Si concede este permiso en un nivel de grupo de recursos, el administrador tendrá permiso de lectura en todos los grupos de hosts de un grupo de recursos.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Operador de host de sesión de Desktop Virtualization

El rol de Operador de host de sesión de Desktop Virtualization permite a los usuarios ver y quitar hosts de sesión, además de cambiar el modo de purga. Los usuarios no pueden agregar hosts de sesión mediante Azure Portal porque no tienen permiso de escritura en los objetos del grupo de hosts. Si el token de registro es válido (es decir, se ha generado y no ha expirado), los usuarios que tengan asignado este rol, pueden agregar hosts de sesión al grupo de hosts fuera de Azure Portal si también tienen el rol de Colaborador de la máquina virtual.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None