Ingebouwde Azure RBAC-rollen voor Azure Virtual Desktop

Azure Virtual Desktop maakt gebruik van op rollen gebaseerd toegangsbeheer (RBAC) van Azure om de toegang tot resources te beheren. Er zijn veel ingebouwde rollen voor gebruik met Azure Virtual Desktop die een verzameling machtigingen zijn. U wijst rollen toe aan gebruikers en beheerders en deze rollen geven toestemming om bepaalde taken uit te voeren. Zie Wat is Azure RBAC?voor meer informatie over Azure RBAC.

De standaard ingebouwde rollen voor Azure zijn Eigenaar, Inzender en Lezer. Azure Virtual Desktop heeft echter meer rollen waarmee u beheerrollen kunt scheiden voor hostgroepen, toepassingsgroepen en werkruimten. Met deze scheiding hebt u gedetailleerdere controle over beheertaken. Deze rollen worden genoemd in overeenstemming met de standaardrollen van Azure en de methodologie met minimale bevoegdheden. Azure Virtual Desktop heeft geen specifieke rol eigenaar, maar u kunt de algemene rol Eigenaar voor de serviceobjecten gebruiken.

De ingebouwde rollen voor Azure Virtual Desktop en de machtigingen voor elke rol worden in dit artikel beschreven. U kunt elke rol toewijzen aan het bereik dat u nodig hebt. Sommige Azure Desktop-functies hebben specifieke vereisten voor het toegewezen bereik, die u kunt vinden in de documentatie voor de relevante functie. Zie Inzicht in Azure-roldefinities en Inzicht in het bereik voor Azure RBAC voor meer informatie.

Inzender voor bureaubladvirtualisatie

Met de rol Inzender voor bureaubladvirtualisatie kunt u al uw Azure Virtual Desktop-resources beheren. U hebt ook de rol Gebruikerstoegang Beheer istrator nodig om toepassingsgroepen toe te wijzen aan gebruikersaccounts of gebruikersgroepen. Met deze rol krijgen gebruikers geen toegang tot rekenresources.

Actietype	Bevoegdheden
acties	Microsoft.DesktopVirtualization/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions	Geen
dataActions	Geen
notDataActions	Geen

Lezer voor bureaubladvirtualisatie

Met de rol Lezer voor bureaubladvirtualisatie kunt u al uw Azure Virtual Desktop-resources weergeven, maar geen wijzigingen toestaan.

Actietype	Bevoegdheden
acties	Microsoft.DesktopVirtualization/*/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Geen
dataActions	Geen
notDataActions	Geen

Bureaubladvirtualisatiegebruiker

Met de rol Bureaubladvirtualisatiegebruiker kunnen gebruikers een toepassing gebruiken op een sessiehost van een toepassingsgroep als een niet-gebruiker met beheerdersrechten.

Actietype	Bevoegdheden
acties	Geen
notActions	Geen
dataActions	Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions	Geen

Inzender voor bureaubladvirtualisatiehostgroepen

Met de rol Inzender voor bureaubladvirtualisatiehostgroepen kunt u alle aspecten van een hostgroep beheren. U hebt ook de rol Inzender voor virtuele machines nodig om virtuele machines en de rol Inzender voor bureaubladvirtualisatietoepassingen en Inzender voor bureaubladvirtualisatiewerkruimten te maken om Azure Virtual Desktop te implementeren met behulp van de portal, of u kunt de rol Inzender voor bureaubladvirtualisatie gebruiken.

Actietype	Bevoegdheden
acties	Microsoft.DesktopVirtualization/hostpools/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions	Geen
dataActions	Geen
notDataActions	Geen

Hostgroeplezer voor bureaubladvirtualisatie

Met de rol Lezer van bureaubladvirtualisatiehostgroep kunt u alle aspecten van een hostgroep bekijken, maar geen wijzigingen toestaan.

Actietype	Bevoegdheden
acties	Microsoft.DesktopVirtualization/hostpools/*/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Geen
dataActions	Geen
notDataActions	Geen

Inzender voor bureaubladvirtualisatietoepassingsgroepen

Met de rol Inzender voor bureaubladvirtualisatietoepassingen kunt u alle aspecten van een toepassingsgroep beheren. Als u ook gebruikersaccounts of gebruikersgroepen wilt toewijzen aan toepassingsgroepen, hebt u ook de rol Gebruikerstoegang Beheer istrator nodig.

Actietype	Bevoegdheden
acties	Microsoft.DesktopVirtualization/applicationgroups/* Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions	Geen
dataActions	Geen
notDataActions	Geen

Lezer van bureaubladvirtualisatietoepassingsgroep

Met de rol Lezer van bureaubladvirtualisatietoepassingsgroepen kunt u alle aspecten van een toepassingsgroep bekijken, maar geen wijzigingen toestaan.

Actietype	Bevoegdheden
acties	Microsoft.DesktopVirtualization/applicationgroups/*/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Geen
dataActions	Geen
notDataActions	Geen

Inzender voor bureaubladvirtualisatiewerkruimten

Met de rol Inzender voor bureaubladvirtualisatiewerkruimten kunt u alle aspecten van werkruimten beheren. Als u informatie wilt over toepassingen die zijn toegevoegd aan een gerelateerde toepassingsgroep, hebt u ook de rol Lezer van bureaubladvirtualisatietoepassingsgroep nodig.

Actietype	Bevoegdheden
acties	Microsoft.DesktopVirtualization/workspaces/* Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions	Geen
dataActions	Geen
notDataActions	Geen

Lezer van bureaubladvirtualisatiewerkruimte

Met de rol Lezer van bureaubladvirtualisatiewerkruimte kunnen gebruikers alle aspecten van een werkruimte bekijken, maar geen wijzigingen toestaan.

Actietype	Bevoegdheden
acties	Microsoft.DesktopVirtualization/workspaces/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Geen
dataActions	Geen
notDataActions	Geen

User Session Operator voor bureaubladvirtualisatie

Met de rol User Session Operator voor bureaubladvirtualisatie kunnen berichten worden verzonden, sessies worden verbroken en de afmeldingsfunctie worden gebruikt om gebruikers af te melden bij een sessiehost. Deze rol staat echter geen beheer van hostgroepen of sessiehosts toe, zoals het verwijderen van een sessiehost, het wijzigen van de afvoermodus, enzovoort. Deze rol kan toewijzingen zien, maar kan geen leden wijzigen. U wordt aangeraden deze rol toe te wijzen aan specifieke hostgroepen. Als u deze rol toewijst op resourcegroepniveau, biedt deze leesmachtiging voor alle hostgroepen onder een resourcegroep.

Actietype	Bevoegdheden
acties	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions	Geen
dataActions	Geen
notDataActions	Geen

Hostoperator voor bureaubladvirtualisatiesessies

Met de rol Hostoperator voor bureaubladvirtualisatiesessies kunt u sessiehosts weergeven en verwijderen en de afvoermodus wijzigen. Deze rol kan geen sessiehosts toevoegen met behulp van Azure Portal, omdat deze geen schrijfmachtiging heeft voor hostgroepobjecten. Als het registratietoken geldig is (gegenereerd en niet verlopen) voor het toevoegen van sessiehosts buiten Azure Portal, kan deze rol sessiehosts toevoegen aan de hostgroep als de rol Inzender voor virtuele machines ook is toegewezen.

Actietype	Bevoegdheden
acties	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions	Geen
dataActions	Geen
notDataActions	Geen

Inzender voor bureaubladvirtualisatie

De rol Inzender voor bureaubladvirtualisatie wordt gebruikt om de Azure Virtual Desktop-resourceprovider toe te staan virtuele machines te starten.

Actietype	Bevoegdheden
acties	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	Geen
dataActions	Geen
notDataActions	Geen

Inzender voor bureaubladvirtualisatie inschakelen

De rol Inzender voor bureaubladvirtualisatie wordt gebruikt om de Azure Virtual Desktop-resourceprovider toe te staan virtuele machines te starten en te stoppen.

Actietype	Bevoegdheden
acties	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Insights/eventtypes/values/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	Geen
dataActions	Geen
notDataActions	Geen

Inzender voor bureaubladvirtualisatie-VM's

De rol Inzender voor virtuele machines voor bureaubladvirtualisatie wordt gebruikt om de Azure Virtual Desktop-resourceprovider toe te staan virtuele machines te maken, te verwijderen, bij te werken, te starten en te stoppen.

Actietype	Bevoegdheden
acties	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read Microsoft.Compute/availabilitySets/read Microsoft.Compute/availabilitySets/write Microsoft.Compute/availabilitySets/vmSizes/read Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/disks/delete Microsoft.Compute/galleries/read Microsoft.Compute/galleries/images/read Microsoft.Compute/galleries/images/versions/read Microsoft.Compute/images/read Microsoft.Compute/locations/usages/read Microsoft.Compute/locations/vmSizes/read Microsoft.Compute/operations/read Microsoft.Compute/skus/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/runCommand/action Microsoft.Compute/virtualMachines/extensions/read Microsoft.Compute/virtualMachines/extensions/write Microsoft.Compute/virtualMachines/extensions/delete Microsoft.Compute/virtualMachines/runCommands/read Microsoft.Compute/virtualMachines/runCommands/write Microsoft.Compute/virtualMachines/vmSizes/read Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/delete Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read Microsoft.KeyVault/vaults/deploy/action Microsoft.Storage/storageAccounts/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read
notActions	Geen
dataActions	Geen
notDataActions	Geen