Op rollen gebaseerd toegangsbeheer (RBAC) voor Azure Virtual Desktop

  • 3 minuten

Azure Virtual Desktop maakt gebruik van op rollen gebaseerd toegangsbeheer (RBAC) van Azure om de toegang tot resources te beheren. Er zijn veel ingebouwde rollen voor gebruik met Azure Virtual Desktop die een verzameling machtigingen zijn. U wijst rollen toe aan gebruikers en beheerders en deze rollen geven toestemming om bepaalde taken uit te voeren.

De standaard ingebouwde rollen voor Azure zijn Eigenaar, Inzender en Lezer. Azure Virtual Desktop heeft echter meer rollen waarmee u beheerrollen kunt scheiden voor hostgroepen, toepassingsgroepen en werkruimten. Met deze scheiding hebt u gedetailleerdere controle over beheertaken. Deze rollen worden genoemd in overeenstemming met de standaardrollen van Azure en de methodologie met minimale bevoegdheden. Azure Virtual Desktop heeft geen specifieke rol eigenaar, maar u kunt de algemene rol Eigenaar voor de serviceobjecten gebruiken.

De ingebouwde rollen voor Azure Virtual Desktop en de machtigingen voor elke rol worden in dit artikel beschreven. U kunt elke rol toewijzen aan het bereik dat u nodig hebt. Sommige Azure Desktop-functies hebben specifieke vereisten voor het toegewezen bereik, die u kunt vinden in de documentatie voor de relevante functie. Zie Inzicht in Azure-roldefinities en Inzicht in het bereik voor Azure RBAC voor meer informatie.

Inzender voor bureaubladvirtualisatie

Met de rol Inzender voor bureaubladvirtualisatie kunt u al uw Azure Virtual Desktop-resources beheren. U hebt ook de rol Gebruikerstoegangsbeheerder nodig om toepassingsgroepen toe te wijzen aan gebruikersaccounts of gebruikersgroepen. Met deze rol krijgen gebruikers geen toegang tot rekenresources.

Bureaubladvirtualisatiegebruiker

Met de rol Bureaubladvirtualisatiegebruiker kunnen gebruikers een toepassing op een sessiehost van een toepassingsgroep gebruiken als een niet-gebruiker met beheerdersrechten

Bijdrager aan hostpool voor bureaubladvirtualisatie

Met de rol Inzender voor bureaubladvirtualisatiehostgroepen kunt u alle aspecten van een hostgroep beheren. U hebt ook de rol Virtual Machine Contributor nodig om virtuele machines te maken, en de rollen Desktop Virtualization Application Group Contributor en Desktop Virtualization Workspace Contributor om Azure Virtual Desktop te implementeren met behulp van de portal. U kunt ook de rol Desktop Virtualization Contributor gebruiken.

Bijdrager aan bureaubladvirtualisatietoepassingsgroep

Met de rol Inzender voor bureaubladvirtualisatietoepassingen kunt u alle aspecten van een toepassingsgroep beheren. Als u ook gebruikersaccounts of gebruikersgroepen wilt toewijzen aan toepassingsgroepen, hebt u ook de rol Administrator voor gebruikerstoegang nodig.

Bijdrager aan virtualisatiewerkruimten voor desktops

Met de rol Inzender voor bureaubladvirtualisatiewerkruimten kunt u alle aspecten van werkruimten beheren. Als u informatie wilt over toepassingen die zijn toegevoegd aan een gerelateerde toepassingsgroep, hebt u ook de rol Lezer van bureaubladvirtualisatietoepassingsgroep nodig.

Operator van gebruikerssessies voor desktopvirtualisatie

Met de rol User Session Operator voor bureaubladvirtualisatie kunnen berichten worden verzonden, sessies worden verbroken en de afmeldingsfunctie worden gebruikt om gebruikers af te melden bij een sessiehost. Deze rol staat echter geen beheer van hostgroepen of sessiehosts toe, zoals het verwijderen van een sessiehost, het wijzigen van de afvoermodus, enzovoort. Deze rol kan toewijzingen zien, maar kan geen leden wijzigen. U wordt aangeraden deze rol toe te wijzen aan specifieke hostgroepen. Als u deze rol toewijst op resourcegroepniveau, biedt deze leesmachtiging voor alle hostgroepen onder een resourcegroep.

Hostoperator voor bureaubladvirtualisatiesessies

Met de rol Hostoperator voor bureaubladvirtualisatiesessies kunt u sessiehosts weergeven en verwijderen en de afvoermodus wijzigen. Deze rol kan geen sessiehosts toevoegen met behulp van Azure Portal, omdat deze geen schrijfmachtiging heeft voor hostgroepobjecten. Als het registratietoken geldig is (gegenereerd en niet verlopen) voor het toevoegen van sessiehosts buiten Azure Portal, kan deze rol sessiehosts toevoegen aan de hostgroep als de rol Inzender voor virtuele machines ook is toegewezen.

Medeweker desktopvirtualisatie actiefschakelen

De rol Power On-bijdrager voor bureaubladvirtualisatie wordt gebruikt om de Azure Virtual Desktop Resource-provider toe te staan virtuele machines te starten.

Bijdrager voor in- en uitschakeling van bureaubladvirtualisatie

De specifieke rol "Desktop Virtualization Power On Off Contributor" wordt gebruikt om de Azure Virtual Desktop-resourceprovider toe te staan virtuele machines in te schakelen en uit te schakelen.

Inzender voor bureaubladvirtualisatie-VM's

De rol Inzender voor virtuele machines voor bureaubladvirtualisatie wordt gebruikt om de Azure Virtual Desktop-resourceprovider toe te staan virtuele machines te maken, te verwijderen, bij te werken, te starten en te stoppen.