Azure Virtual Desktop의 기본 제공 Azure RBAC 역할

  • 아티클

Azure Virtual Desktop은 Azure RBAC(역할 기반 액세스 제어)를 사용하여 리소스에 대한 액세스를 제어합니다. 권한 컬렉션인 Azure Virtual Desktop에서 사용할 수 있는 많은 기본 제공 역할이 있습니다. 사용자와 관리자에게 역할을 할당하고 이러한 역할은 특정 작업을 수행할 수 있는 권한을 부여합니다. Azure RBAC에 대한 자세한 내용은 Azure RBAC란?을 참조하세요.

Azure에 대한 표준 기본 제공 역할은 소유자, 기여자 및 읽기 권한자입니다. 그러나 Azure Virtual Desktop에는 호스트 풀, 애플리케이션 그룹 및 작업 영역에 대한 관리 역할을 구분할 수 있는 더 많은 역할이 있습니다. 이렇게 분리하면 관리 작업을 보다 세부적으로 제어할 수 있습니다. 이러한 역할은 Azure의 표준 역할 및 최소 권한 방법에 따라 명명됩니다. Azure Virtual Desktop에는 특정 소유자 역할이 없지만 서비스 개체에 대한 일반 소유자 역할을 사용할 수 있습니다.

Azure Virtual Desktop에 대한 기본 제공 역할 및 각 역할에 대한 사용 권한은 이 문서에 자세히 설명되어 있습니다. 필요한 범위에 각 역할을 할당할 수 있습니다. 일부 Azure Desktop 기능에는 할당된 범위에 대한 특정 요구 사항이 있으며 관련 기능에 대한 설명서에서 찾을 수 있습니다. 자세한 내용은 Azure RBAC에 대한 Azure 역할 정의 및 이해 범위를 참조하세요.

데스크톱 가상화 기여자

Desktop Virtualization Contributor 역할을 사용하면 모든 Azure Virtual Desktop 리소스를 관리할 수 있습니다. 또한 애플리케이션 그룹을 사용자 계정 또는 사용자 그룹에 할당하려면 사용자 액세스 관리istrator 역할이 필요합니다. 이 역할은 사용자에게 컴퓨팅 리소스에 대한 액세스 권한을 부여하지 않습니다.

동작 유형 사용 권한
actions
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions 없음
dataActions 없음
notDataActions 없음

데스크톱 가상화 읽기 권한자

Desktop Virtualization Reader 역할을 사용하면 모든 Azure Virtual Desktop 리소스를 볼 수 있지만 변경은 허용하지 않습니다.

동작 유형 사용 권한
actions
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions 없음
dataActions 없음
notDataActions 없음

데스크톱 가상화 사용자

데스크톱 가상화 사용자 역할을 사용하면 사용자가 애플리케이션 그룹의 세션 호스트에서 애플리케이션을 비관리 사용자로 사용할 수 있습니다.

동작 유형 사용 권한
actions 없음
notActions 없음
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions 없음

데스크톱 가상화 호스트 풀 기여자

데스크톱 가상화 호스트 풀 기여자 역할을 사용하면 호스트 풀의 모든 측면을 관리할 수 있습니다. 포털을 사용하여 Azure Virtual Desktop을 배포하려면 가상 머신데스크톱 가상화 애플리케이션 그룹 기여자데스크톱 가상화 작업 영역 기여자 역할을 만들거나 데스크톱 가상화 기여자 역할을 사용할 수도 있습니다.

동작 유형 사용 권한
actions
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions 없음
dataActions 없음
notDataActions 없음

데스크톱 가상화 호스트 풀 읽기 권한자

데스크톱 가상화 호스트 풀 판독기 역할은 호스트 풀의 모든 측면을 볼 수 있지만 변경은 허용하지 않습니다.

동작 유형 사용 권한
actions
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions 없음
dataActions 없음
notDataActions 없음

데스크톱 가상화 애플리케이션 그룹 기여자

Desktop Virtualization 애플리케이션 그룹 기여자 역할을 사용하면 애플리케이션 그룹의 모든 측면을 관리할 수 있습니다. 애플리케이션 그룹에도 사용자 계정 또는 사용자 그룹을 할당하려는 경우 사용자 액세스 관리istrator 역할도 필요합니다.

동작 유형 사용 권한
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions 없음
dataActions 없음
notDataActions 없음

데스크톱 가상화 애플리케이션 그룹 읽기 권한자

데스크톱 가상화 애플리케이션 그룹 읽기 권한자 역할은 애플리케이션 그룹의 모든 측면을 볼 수 있지만 변경은 허용하지 않습니다.

동작 유형 사용 권한
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions 없음
dataActions 없음
notDataActions 없음

데스크톱 가상화 작업 영역 기여자

Desktop Virtualization 작업 영역 기여자 역할을 사용하면 작업 영역의 모든 측면을 관리할 수 있습니다. 관련 애플리케이션 그룹에 추가된 애플리케이션에 대한 정보를 얻으려면 Desktop Virtualization 애플리케이션 그룹 읽기 권한자 역할도 필요합니다.

동작 유형 사용 권한
actions
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions 없음
dataActions 없음
notDataActions 없음

데스크톱 가상화 작업 영역 읽기 권한자

데스크톱 가상화 작업 영역 읽기 권한자 역할을 사용하면 사용자가 작업 영역의 모든 측면을 볼 수 있지만 변경은 허용하지 않습니다.

동작 유형 사용 권한
actions
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions 없음
dataActions 없음
notDataActions 없음

데스크톱 가상화 사용자 세션 운영자

Desktop Virtualization 사용자 세션 운영자 역할을 사용하면 메시지를 보내고, 세션 연결을 끊고, 로그오프 함수를 사용하여 세션 호스트에서 사용자를 로그아웃할 수 있습니다. 그러나 이 역할은 세션 호스트 제거, 드레이닝 모드 변경 등과 같은 호스트 풀 또는 세션 호스트 관리를 허용하지 않습니다. 이 역할은 할당을 볼 수 있지만 멤버를 수정할 수는 없습니다. 특정 호스트 풀에 이 역할을 할당하는 것이 좋습니다. 리소스 그룹 수준에서 이 역할을 할당하는 경우 리소스 그룹의 모든 호스트 풀에 대한 읽기 권한을 제공합니다.

동작 유형 사용 권한
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions 없음
dataActions 없음
notDataActions 없음

데스크톱 가상화 세션 호스트 운영자

데스크톱 가상화 세션 호스트 운영자 역할을 사용하면 세션 호스트를 보고 제거하고 드레이닝 모드를 변경할 수 있습니다. 이 역할은 호스트 풀 개체에 대한 쓰기 권한이 없기 때문에 Azure Portal을 사용하여 세션 호스트를 추가할 수 없습니다. Azure Portal 외부에서 세션 호스트를 추가하는 경우 등록 토큰이 유효하고 만료되지 않은 경우 Virtual Machine 기여자 역할도 할당된 경우 이 역할은 호스트 풀에 세션 호스트를 추가할 수 있습니다.

동작 유형 사용 권한
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions 없음
dataActions 없음
notDataActions 없음

데스크톱 가상화 전원 켜기 기여자

Desktop Virtualization Power On 기여자 역할은 Azure Virtual Desktop 리소스 공급자가 가상 머신을 시작할 수 있도록 하는 데 사용됩니다.

동작 유형 사용 권한
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operation상태/read
notActions 없음
dataActions 없음
notDataActions 없음

데스크톱 가상화 전원 켜기 끄기 기여자

Desktop Virtualization Power On Off 기여자 역할은 Azure Virtual Desktop 리소스 공급자가 가상 머신을 시작하고 중지할 수 있도록 하는 데 사용됩니다.

동작 유형 사용 권한
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operation상태/read
notActions 없음
dataActions 없음
notDataActions 없음

데스크톱 가상화 가상 머신 기여자

Desktop Virtualization Virtual Machine 기여자 역할은 Azure Virtual Desktop 리소스 공급자가 가상 머신을 만들고, 삭제하고, 업데이트하고, 시작하고, 중지할 수 있도록 하는 데 사용됩니다.

동작 유형 사용 권한
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offer/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions 없음
dataActions 없음
notDataActions 없음