Roles de Azure RBAC integrados de Azure Virtual Desktop

  • Artículo

Azure Virtual Desktop usa el control de acceso basado en rol (RBAC) de Azure para controlar el acceso a los recursos. Hay muchos roles integrados para su uso con Azure Virtual Desktop que son una colección de permisos. Se asignan roles a usuarios y administradores que conceden permiso para llevar a cabo determinadas tareas. Para obtener más información sobre Azure RBAC, consulte: ¿En qué consiste Azure RBAC?.

Los roles estándar integrados en Azure son Propietario, Colaborador y Lector. Sin embargo, Azure Virtual Desktop tiene roles adicionales que le permiten separar roles de administración para grupos de hosts, grupos de aplicaciones y áreas de trabajo. Esta separación le permite tener un control más preciso sobre las tareas administrativas. Estos roles se denominan conforme a los roles estándar de Azure y a la metodología de privilegios mínimos. Azure Virtual Desktop no tiene un rol de propietario específico, pero puede usar el rol de propietario general para los objetos de servicio.

Los roles integrados para Azure Virtual Desktop y los permisos de cada uno se detallan en este artículo. Puede asignar cada rol al ámbito que necesite. Algunas características de Azure Desktop tienen requisitos específicos para el ámbito asignado, que puede encontrar en la documentación de la característica pertinente. Para obtener más información, consulte Descripción de las definiciones de roles de Azure y Descripción del ámbito de Azure RBAC.

Colaborador de virtualización del escritorio

El rol Colaborador de virtualización de escritorio permite administrar todos los recursos de Azure Virtual Desktop. También necesita el rol de Administrador de acceso de usuarios para asignar grupos de aplicaciones a cuentas de usuarios o grupos de usuarios. Este rol no concede a los usuarios acceso a los recursos de proceso.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lector de virtualización del escritorio

El rol Lector de virtualización de escritorio permite ver todos los recursos de Azure Virtual Desktop, pero no permite cambios.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Usuario de Desktop Virtualization

El rol Usuario de virtualización de escritorio permite a los usuarios usar una aplicación en un host de sesión de un grupo de aplicaciones como usuario no administrativo.

Tipo de acción Permisos
actions None
notActions None
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions None

Colaborador del grupo de hosts de Desktop Virtualization

El rol Colaborador del grupo de hosts de virtualización de escritorio permite administrar todos los aspectos de un grupo de hosts. También necesita el rol Colaborador de máquina virtual para crear máquinas virtuales y los roles Colaborador de grupo de aplicaciones de virtualización de escritorio y Colaborador de área de trabajo de virtualización de escritorio para implementar Azure Virtual Desktop usando el portal, o puede usar el rol Colaborador de virtualización de escritorio.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lector del grupo de hosts de Desktop Virtualization

El rol Lector del grupo de hosts de virtualización de escritorio permite ver todos los aspectos de un grupo de hosts, pero no permite cambios.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Colaborador del grupo de aplicaciones de Desktop Virtualization

El rol de Colaborador del grupo de aplicaciones de virtualización de escritorio permite administrar todos los aspectos de un grupo de aplicaciones. Si también quiere asignar cuentas de usuario o grupos de usuarios a grupos de aplicaciones, también necesitará el rol de Administrador de acceso de usuarios.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lector del grupo de aplicaciones de Desktop Virtualization

El rol Lector del grupo de aplicaciones de virtualización de escritorio permite ver todos los aspectos de un grupo de aplicaciones, pero no permite realizar cambios.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Colaborador del área de trabajo de Desktop Virtualization

El rol Colaborador del área de trabajo de Desktop Virtualization permite administrar todos los aspectos de las áreas de trabajo. Para obtener información sobre las aplicaciones agregadas a un grupo de aplicaciones relacionado, también necesita el rol Lector del grupo de aplicaciones de virtualización de escritorio.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lector del área de trabajo de Desktop Virtualization

El rol Lector del área de trabajo de virtualización de escritorio permite a los usuarios ver todos los aspectos de un área de trabajo, pero no permite cambios.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Operador de sesión de usuario de Desktop Virtualization

El rol de Operador de sesión de usuario de virtualización de escritorio permite enviar mensajes, desconectar sesiones y usar la función logoff para cerrar la sesión de los usuarios en un host de sesión. Sin embargo, este rol no permite administrar el grupo de hosts ni el host de sesión, como eliminar un host de sesión, cambiar el modo de purga, etc. Este rol puede ver asignaciones, pero no puede modificar miembros. Se recomienda asignar este rol a grupos de hosts específicos. Si asigna este rol en un nivel de grupo de recursos, proporciona permiso de lectura en todos los grupos host de un grupo de recursos.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Operador de host de sesión de Desktop Virtualization

El rol de Operador de host de sesión de virtualización de escritorio permite ver y eliminar hosts de sesión, así como cambiar el modo de purga. Este rol no puede agregar hosts de sesión usando Azure Portal porque no tiene permiso de escritura para los objetos del grupo de hosts. Para agregar hosts de sesión fuera de Azure Portal, si el token de registro es válido (se ha generado y no ha expirado), este rol puede agregar hosts de sesión al grupo de host si el rol de Colaborador de máquina virtual también está asignado.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Colaborador de activación de virtualización del escritorio

El rol Colaborador de encendido de virtualización del escritorio se usa para permitir al proveedor de recursos de Azure Virtual Desktop iniciar máquinas virtuales.

Tipo de acción Permisos
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions None
dataActions None
notDataActions None

Colaborador de desactivación de virtualización del escritorio

El rol de Colaborador de encendido y apagado de virtualización de escritorio se usa para permitir que el proveedor de recursos de Azure Virtual Desktop inicie y detenga máquinas virtuales.

Tipo de acción Permisos
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions None
dataActions None
notDataActions None

Colaborador de máquina virtual de virtualización del escritorio

El rol Colaborador de máquina virtual de virtualización del escritorio se usa para permitir al proveedor de recursos de Azure Virtual Desktop crear, eliminar, actualizar, iniciar y detener máquinas virtuales.

Tipo de acción Permisos
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions None
dataActions None
notDataActions None