Inbyggda Azure RBAC-roller för Azure Virtual Desktop

Azure Virtual Desktop använder rollbaserad åtkomstkontroll i Azure (RBAC) för att styra åtkomsten till resurser. Det finns många inbyggda roller för användning med Azure Virtual Desktop som är en samling behörigheter. Du tilldelar roller till användare och administratörer och dessa roller ger behörighet att utföra vissa uppgifter. Mer information om Azure RBAC finns i Vad är Azure RBAC?.

De inbyggda standardrollerna för Azure är Ägare, Deltagare och Läsare. Azure Virtual Desktop har dock fler roller som gör att du kan separera hanteringsroller för värdpooler, programgrupper och arbetsytor. Med den här separationen får du mer detaljerad kontroll över administrativa uppgifter. De här rollerna namnges i enlighet med Azures standardroller och metod för lägsta behörighet. Azure Virtual Desktop har ingen specifik ägarroll, men du kan använda den allmänna ägarrollen för tjänstobjekten.

De inbyggda rollerna för Azure Virtual Desktop och behörigheterna för var och en beskrivs i den här artikeln. Du kan tilldela varje roll till det omfång du behöver. Vissa Azure Desktop-funktioner har specifika krav för det tilldelade omfånget, som du hittar i dokumentationen för den relevanta funktionen. Mer information finns i Förstå Rolldefinitioner för Azure och Förstå omfång för Azure RBAC.

Virtualiseringsdeltagare för skrivbord

Rollen Virtualiseringsdeltagare för skrivbord gör det möjligt att hantera alla dina Azure Virtual Desktop-resurser. Du behöver också rollen Administratör för användaråtkomst för att tilldela programgrupper till användarkonton eller användargrupper. Den här rollen ger inte användarna åtkomst till beräkningsresurser.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.DesktopVirtualization/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen

Virtualiseringsläsare för skrivbord

Rollen Virtualiseringsläsare för skrivbord tillåter visning av alla dina Azure Virtual Desktop-resurser, men tillåter inte ändringar.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.DesktopVirtualization/*/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen

Användare av skrivbordsvirtualisering

Med rollen Virtualiseringsanvändare för skrivbord kan användare använda ett program på en sessionsvärd från en programgrupp som en icke-administrativ användare.

Åtgärdstyp	Behörigheter
åtgärder	Ingen
notActions	Ingen
dataActions	Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions	Ingen

Deltagare i värdpoolen för virtualisering av skrivbordsvirtualisering

Rollen Deltagare i Värdpool för virtualisering för skrivbordsvirtualisering gör det möjligt att hantera alla aspekter av en värdpool. Du behöver också rollen Virtuell datordeltagare för att skapa virtuella datorer och rollen Deltagare i skrivbordsvirtualiseringsprogram och Arbetsytedeltagare för skrivbordsvirtualisering för att distribuera Azure Virtual Desktop med hjälp av portalen, eller så kan du använda rollen Virtualiseringsdeltagare för skrivbord.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.DesktopVirtualization/hostpools/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen

Värdpoolläsare för virtualisering av skrivbordsvirtualisering

Rollen Värdpoolläsare för virtualisering för skrivbordsdator tillåter visning av alla aspekter av en värdpool, men tillåter inte ändringar.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.DesktopVirtualization/hostpools/*/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen

Deltagare i virtualiseringsprogramgrupp för skrivbord

Rollen Deltagare i programgruppen För skrivbordsvirtualisering gör det möjligt att hantera alla aspekter av en programgrupp. Om du också vill tilldela användarkonton eller användargrupper till programgrupper behöver du även rollen Administratör för användaråtkomst.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.DesktopVirtualization/applicationgroups/* Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen

Programgruppläsare för virtualisering av skrivbordsvirtualisering

Rollen Programgruppläsare för skrivbordsvirtualisering tillåter visning av alla aspekter av en programgrupp, men tillåter inte ändringar.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.DesktopVirtualization/applicationgroups/*/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen

Deltagare i virtualisering av skrivbordsarbetsyta

Rollen Deltagare i skrivbordsvirtualiseringsarbetsyta gör det möjligt att hantera alla aspekter av arbetsytor. För att få information om program som lagts till i en relaterad programgrupp behöver du även rollen Programgruppläsare för skrivbordsvirtualiseringsprogram.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.DesktopVirtualization/workspaces/* Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen

Desktop Virtualization Workspace Reader

Rollen Läsare av skrivbordsvirtualiseringsarbetsyta gör det möjligt för användare att visa alla aspekter av en arbetsyta, men tillåter inte ändringar.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.DesktopVirtualization/workspaces/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen

Användarsessionsoperator för skrivbordsvirtualisering

Rollen Användarsessionsoperator för skrivbordsvirtualisering gör det möjligt att skicka meddelanden, koppla från sessioner och använda utloggningsfunktionen för att logga ut användare från en sessionsvärd. Den här rollen tillåter dock inte värdpools- eller sessionsvärdhantering som att ta bort en sessionsvärd, ändra avtappningsläge och så vidare. Den här rollen kan se tilldelningar, men kan inte ändra medlemmar. Vi rekommenderar att du tilldelar den här rollen till specifika värdpooler. Om du tilldelar den här rollen på resursgruppsnivå ger den läsbehörighet för alla värdpooler under en resursgrupp.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen

Värdoperator för skrivbordsvirtualiseringssession

Med rollen Värdoperator för skrivbordsvirtualiseringssession kan du visa och ta bort sessionsvärdar och ändra avtappningsläge. Den här rollen kan inte lägga till sessionsvärdar med hjälp av Azure-portalen eftersom den inte har skrivbehörighet för värdpoolobjekt. Om registreringstoken är giltig (genererad och inte upphört att gälla) för att lägga till sessionsvärdar utanför Azure-portalen kan den här rollen lägga till sessionsvärdar i värdpoolen om rollen Virtuell datordeltagare också tilldelas.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Support/*
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen

Power On-deltagare för skrivbordsvirtualisering

Rollen Power On-deltagare för virtualisering av skrivbordsvirtualisering används för att tillåta azure virtual desktop-resursprovidern att starta virtuella datorer.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen

Power On Off-deltagare för skrivbordsvirtualisering

Rollen Power On Off-deltagare för skrivbordsvirtualisering används för att tillåta Azure Virtual Desktop-resursprovidern att starta och stoppa virtuella datorer.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Insights/eventtypes/values/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen

Virtualiseringsdeltagare för virtuell dator för skrivbord

Rollen Virtualisering av virtuell dator för skrivbord används för att tillåta Azure Virtual Desktop-resursprovidern att skapa, ta bort, uppdatera, starta och stoppa virtuella datorer.

Åtgärdstyp	Behörigheter
åtgärder	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read Microsoft.Compute/availabilitySets/read Microsoft.Compute/availabilitySets/write Microsoft.Compute/availabilitySets/vmSizes/read Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/disks/delete Microsoft.Compute/galleries/read Microsoft.Compute/galleries/images/read Microsoft.Compute/galleries/images/versions/read Microsoft.Compute/images/read Microsoft.Compute/locations/usages/read Microsoft.Compute/locations/vmSizes/read Microsoft.Compute/operations/read Microsoft.Compute/skus/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/runCommand/action Microsoft.Compute/virtualMachines/extensions/read Microsoft.Compute/virtualMachines/extensions/write Microsoft.Compute/virtualMachines/extensions/delete Microsoft.Compute/virtualMachines/runCommands/read Microsoft.Compute/virtualMachines/runCommands/write Microsoft.Compute/virtualMachines/vmSizes/read Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/delete Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read Microsoft.KeyVault/vaults/deploy/action Microsoft.Storage/storageAccounts/read Microsoft.Authorization/*/read Microsoft.Insights/alertRules/* Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read
notActions	Ingen
dataActions	Ingen
notDataActions	Ingen