适用于 Azure 虚拟桌面的 Azure RBAC 内置角色

Azure 虚拟桌面使用 Azure 基于角色的访问控制 (RBAC) 来控制对资源的访问。 有许多内置角色可供 Azure 虚拟桌面使用,这是一个权限的集合。 你将角色分配给用户和管理员,这些角色将授予执行特定任务的权限。 若要详细了解 Azure RBAC,请参阅什么是 Azure RBAC?

Azure 的标准内置角色是所有者、参与者和读取者。 但是,Azure 虚拟桌面还具有其他角色,让你能够将主机池、应用程序组和工作区的管理角色分离开来。 这种分离使你可以更精细地控制管理任务。 这些角色的命名遵循 Azure 的标准角色和最低特权方法。 Azure 虚拟桌面没有特定的所有者角色,但你可以将常规所有者角色用于服务对象。

本文详细介绍了 Azure 虚拟桌面的内置角色以及每个角色的权限。 可以将每个角色分配给所需的范围。 某些 Azure 桌面功能对分配的范围有特定要求,详见在相关功能的文档。 有关详细信息,请参阅了解 Azure 角色定义了解 Azure RBAC 的范围

桌面虚拟化参与者

拥有桌面虚拟化参与者角色后,可管理所有 Azure 虚拟桌面资源。 若要向用户帐户或用户组分配应用程序组,还需要用户访问管理员角色。 该角色不向用户授予对计算资源的访问权限。

操作类型 权限
actions
  • Microsoft.DesktopVirtualization/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

桌面虚拟化读取者

拥有桌面虚拟化读取者角色后,可查看所有 Azure 虚拟桌面资源,但不可更改它们。

操作类型 权限
actions
  • Microsoft.DesktopVirtualization/*/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

桌面虚拟化用户

拥有桌面虚拟化用户角色后,用户可以非管理用户的身份使用来自应用程序组的会话主机上的应用程序。

操作类型 权限
actions None
notActions None
dataActions
  • Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions None

桌面虚拟化主机池参与者

拥有桌面虚拟化主机池参与者角色后,用户可以管理主机池的各个方面。 若要创建虚拟机,你还需要虚拟机参与者角色;若要使用门户部署 Azure 虚拟桌面,你还需要桌面虚拟化应用程序组参与者和桌面虚拟化工作区参与者角色,或者你可以使用桌面虚拟化参与者角色。

操作类型 权限
actions
  • Microsoft.DesktopVirtualization/hostpools/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

桌面虚拟化主机池读取者

拥有桌面虚拟化主机池读取者角色后,可查看主机池的各个方面,但不可更改它们。

操作类型 权限
actions
  • Microsoft.DesktopVirtualization/hostpools/*/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

桌面虚拟化应用程序组参与者

拥有桌面虚拟化应用程序组参与者角色后,可以管理应用程序组的各个方面。 如果还想要将用户帐户或用户组分配给应用程序组,还需要用户访问管理员角色。

操作类型 权限
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

桌面虚拟化应用程序组读取者

拥有桌面虚拟化应用程序组读取者角色后,可以管理应用程序组的各个方面,但不可更改它们。

操作类型 权限
actions
  • Microsoft.DesktopVirtualization/applicationgroups/*/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

桌面虚拟化工作区参与者

拥有桌面虚拟化工作区参与者角色后,可以管理工作区的各个方面。 若要了解添加到相关应用程序组的应用程序,还需要桌面虚拟化应用程序组读者角色。

操作类型 权限
actions
  • Microsoft.DesktopVirtualization/workspaces/*
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

桌面虚拟化工作区读取者

拥有桌面虚拟化工作区读取者角色后,用户可以查看工作区的各个方面,但不可更改它们。

操作类型 权限
actions
  • Microsoft.DesktopVirtualization/workspaces/read
  • Microsoft.DesktopVirtualization/applicationgroups/read
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/read
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

桌面虚拟化用户会话操作员

拥有桌面虚拟化用户会话操作员角色后,可以发送消息、断开会话连接,并使用“注销”功能从会话主机中注销用户。 但是,此角色不支持主机池或会话主机管理,例如删除会话主机、更改排出模式等。 此角色可以查看分配,但不能修改成员。 建议将此角色分配给特定的主机池。 如果在资源组级别分配此角色,它将提供资源组下的所有主机池的读取权限。

操作类型 权限
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

桌面虚拟化会话主机操作员

拥有桌面虚拟化会话主机操作员角色后,可以查看和删除会话主机,还可更改排出模式。 此角色不能使用 Azure 门户添加会话主机,因为它对主机池对象没有写入权限。 若要在 Azure 门户外部添加会话主机,而注册令牌有效(已生成且未过期),那么要是还分配了虚拟机参与者角色的话,此角色可向主机池添加会话主机。

操作类型 权限
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.Resources/deployments/*
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Support/*
notActions None
dataActions None
notDataActions None

桌面虚拟化启用参与者

桌面虚拟化启用参与者角色用于支持 Azure 虚拟桌面资源提供程序启动虚拟机。

操作类型 权限
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions None
dataActions None
notDataActions None

桌面虚拟化禁用参与者

桌面虚拟化启用/禁用参与者角色用于支持 Azure 虚拟桌面资源提供程序启动和停止虚拟机。

操作类型 权限
actions
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/instanceView/read
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Insights/eventtypes/values/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/read
  • Microsoft.AzureStackHCI/virtualMachineInstances/start/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/stop/action
  • Microsoft.AzureStackHCI/virtualMachineInstances/restart/action
  • Microsoft.HybridCompute/machines/read
  • Microsoft.HybridCompute/operations/read
  • Microsoft.HybridCompute/locations/operationresults/read
  • Microsoft.HybridCompute/locations/operationstatus/read
notActions None
dataActions None
notDataActions None

桌面虚拟化虚拟机参与者

桌面虚拟化虚拟机参与者角色用于支持 Azure 虚拟桌面资源提供程序创建、删除、更新、启动和停止虚拟机。

操作类型 权限
actions
  • Microsoft.DesktopVirtualization/hostpools/read
  • Microsoft.DesktopVirtualization/hostpools/write
  • Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/write
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action
  • Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action
  • Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read
  • Microsoft.Compute/availabilitySets/read
  • Microsoft.Compute/availabilitySets/write
  • Microsoft.Compute/availabilitySets/vmSizes/read
  • Microsoft.Compute/disks/read
  • Microsoft.Compute/disks/write
  • Microsoft.Compute/disks/delete
  • Microsoft.Compute/galleries/read
  • Microsoft.Compute/galleries/images/read
  • Microsoft.Compute/galleries/images/versions/read
  • Microsoft.Compute/images/read
  • Microsoft.Compute/locations/usages/read
  • Microsoft.Compute/locations/vmSizes/read
  • Microsoft.Compute/operations/read
  • Microsoft.Compute/skus/read
  • Microsoft.Compute/virtualMachines/read
  • Microsoft.Compute/virtualMachines/write
  • Microsoft.Compute/virtualMachines/delete
  • Microsoft.Compute/virtualMachines/start/action
  • Microsoft.Compute/virtualMachines/powerOff/action
  • Microsoft.Compute/virtualMachines/restart/action
  • Microsoft.Compute/virtualMachines/deallocate/action
  • Microsoft.Compute/virtualMachines/runCommand/action
  • Microsoft.Compute/virtualMachines/extensions/read
  • Microsoft.Compute/virtualMachines/extensions/write
  • Microsoft.Compute/virtualMachines/extensions/delete
  • Microsoft.Compute/virtualMachines/runCommands/read
  • Microsoft.Compute/virtualMachines/runCommands/write
  • Microsoft.Compute/virtualMachines/vmSizes/read
  • Microsoft.Network/networkSecurityGroups/read
  • Microsoft.Network/networkInterfaces/write
  • Microsoft.Network/networkInterfaces/read
  • Microsoft.Network/networkInterfaces/join/action
  • Microsoft.Network/networkInterfaces/delete
  • Microsoft.Network/virtualNetworks/subnets/read
  • Microsoft.Network/virtualNetworks/subnets/join/action
  • Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read
  • Microsoft.KeyVault/vaults/deploy/action
  • Microsoft.Storage/storageAccounts/read
  • Microsoft.Authorization/*/read
  • Microsoft.Insights/alertRules/*
  • Microsoft.Resources/deployments/*
  • Microsoft.Resources/subscriptions/resourceGroups/read
notActions None
dataActions None
notDataActions None