Ruoli predefiniti del controllo degli accessi in base al ruolo di Azure per Desktop virtuale Azure

  • Articolo

Desktop virtuale Azure usa il controllo degli accessi in base al ruolo di Azure per controllare l'accesso alle risorse. Esistono molti ruoli predefiniti da usare con Desktop virtuale Azure che sono una raccolta di autorizzazioni. Si assegnano ruoli a utenti e amministratori e questi ruoli forniscono l'autorizzazione per eseguire determinate attività. Per altre informazioni sul controllo degli accessi in base al ruolo di Azure, vedere Informazioni sul controllo degli accessi in base al ruolo di Azure.

I ruoli predefiniti standard per Azure sono Proprietario, Collaboratore e Lettore. Desktop virtuale Azure include tuttavia più ruoli che consentono di separare i ruoli di gestione per pool di host, gruppi di applicazioni e aree di lavoro. Questa separazione consente di avere un controllo più granulare sulle attività amministrative. Questi ruoli vengono denominati in conformità ai ruoli standard di Azure e alla metodologia dei privilegi minimi. Desktop virtuale Azure non ha un ruolo proprietario specifico, ma è possibile usare il ruolo proprietario generale per gli oggetti servizio.

I ruoli predefiniti per Desktop virtuale Azure e le autorizzazioni per ognuno di essi sono descritti in dettaglio in questo articolo. È possibile assegnare ogni ruolo all'ambito necessario. Alcune funzionalità di Desktop di Azure hanno requisiti specifici per l'ambito assegnato, disponibile nella documentazione relativa alla funzionalità pertinente. Per altre informazioni, vedere Informazioni sulle definizioni dei ruoli di Azure e Informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure.

Collaboratore di virtualizzazione desktop

Il ruolo Collaboratore virtualizzazione desktop consente di gestire tutte le risorse di Desktop virtuale Azure. È necessario anche il ruolo Accesso utenti Amministrazione istrator per assegnare gruppi di applicazioni agli account utente o ai gruppi di utenti. Questo ruolo non concede agli utenti l'accesso alle risorse di calcolo.

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lettore virtualizzazione desktop

Il ruolo Desktop Virtualization Reader consente di visualizzare tutte le risorse di Desktop virtuale Azure, ma non consente modifiche.

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Utente virtualizzazione desktop

Il ruolo Utente di virtualizzazione desktop consente agli utenti di usare un'applicazione in un host di sessione da un gruppo di applicazioni come utente non amministrativo.

Tipo di azione Autorizzazioni
actions None
notActions None
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions None

Collaboratore del pool di host di virtualizzazione desktop

Il ruolo Collaboratore pool host di virtualizzazione desktop consente di gestire tutti gli aspetti di un pool di host. È anche necessario il ruolo Collaboratore macchina virtuale per creare macchine virtuali e i ruoli Collaboratore gruppo di applicazioni di virtualizzazione desktop e Collaboratore Desktop Virtualization Workspace per distribuire Desktop virtuale Azure tramite il portale oppure è possibile usare il ruolo Collaboratore virtualizzazione Desktop.

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lettore del pool di host di virtualizzazione desktop

Il ruolo Lettore pool di host di virtualizzazione desktop consente di visualizzare tutti gli aspetti di un pool di host, ma non consente modifiche.

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Collaboratore del gruppo di applicazioni di virtualizzazione desktop

Il ruolo Collaboratore gruppo di applicazioni di virtualizzazione desktop consente di gestire tutti gli aspetti di un gruppo di applicazioni. Se si vogliono assegnare anche account utente o gruppi di utenti ai gruppi di applicazioni, è necessario anche il ruolo Accesso utenti Amministrazione istrator.

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lettore del gruppo di applicazioni di virtualizzazione desktop

Il ruolo Lettore gruppo di applicazioni di virtualizzazione desktop consente di visualizzare tutti gli aspetti di un gruppo di applicazioni, ma non consente modifiche.

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Collaboratore dell'area di lavoro di virtualizzazione desktop

Il ruolo Collaboratore area di lavoro di virtualizzazione desktop consente di gestire tutti gli aspetti delle aree di lavoro. Per ottenere informazioni sulle applicazioni aggiunte a un gruppo di applicazioni correlato, è necessario anche il ruolo Lettore gruppo di applicazioni desktop virtualization.

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Lettore dell'area di lavoro di virtualizzazione desktop

Il ruolo lettore di Desktop Virtualization Workspace consente agli utenti di visualizzare tutti gli aspetti di un'area di lavoro, ma non consente modifiche.

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Operatore della sessione utente di virtualizzazione desktop

Il ruolo Operatore sessione utente di virtualizzazione desktop consente l'invio di messaggi, la disconnessione delle sessioni e l'uso della funzione di disconnessione per disconnettere gli utenti da un host di sessione. Tuttavia, questo ruolo non consente la gestione del pool di host o dell'host sessione, ad esempio la rimozione di un host sessione, la modifica della modalità di svuotamento e così via. Questo ruolo può visualizzare le assegnazioni, ma non può modificare i membri. È consigliabile assegnare questo ruolo a pool di host specifici. Se si assegna questo ruolo a livello di gruppo di risorse, fornisce l'autorizzazione di lettura per tutti i pool di host in un gruppo di risorse.

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Operatore dell'host di sessione di virtualizzazione desktop

Il ruolo Operatore host sessione di virtualizzazione desktop consente di visualizzare e rimuovere gli host sessione e di modificare la modalità di svuotamento. Questo ruolo non può aggiungere host di sessione usando il portale di Azure perché non dispone dell'autorizzazione di scrittura per gli oggetti del pool di host. Per aggiungere host di sessione al di fuori del portale di Azure, se il token di registrazione è valido (generato e non scaduto), questo ruolo può aggiungere host di sessione al pool di host se viene assegnato anche il ruolo Collaboratore macchina virtuale.

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

Collaboratore di Desktop Virtualization Power On

Il ruolo Collaboratore Virtualizzazione Desktop viene usato per consentire al provider di risorse desktop virtuale Azure di avviare le macchine virtuali.

Tipo di azione Autorizzazioni
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions None
dataActions None
notDataActions None

Collaboratore per l'accensione della virtualizzazione desktop

Il ruolo Collaboratore per l'accensione della virtualizzazione desktop viene usato per consentire al provider di risorse Desktop virtuale Azure di avviare e arrestare le macchine virtuali.

Tipo di azione Autorizzazioni
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions None
dataActions None
notDataActions None

Collaboratore macchina virtuale di virtualizzazione desktop

Il ruolo Collaboratore macchina virtuale di virtualizzazione desktop viene usato per consentire al provider di risorse desktop virtuale Azure di creare, eliminare, aggiornare, avviare e arrestare le macchine virtuali.

Tipo di azione Autorizzazioni
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions None
dataActions None
notDataActions Nessuno