RBAC (controle de acesso baseado em função) para Área de Trabalho Virtual do Azure

A Área de Trabalho Virtual do Azure usa o controle de acesso baseado em função (RBAC) do Azure para controlar o acesso aos recursos. Existem várias funções internas a serem usadas com a Área de Trabalho Virtual do Azure que são uma coleção de permissões. Você atribui funções a usuários e administradores, e essas funções concedem permissão para realizar determinadas tarefas.

As funções internas padrão para o Azure são Proprietário, Colaborador e Leitor. Porém, a Área de Trabalho Virtual do Azure tem outras funções que lhe permitem separar as funções de gerenciamento dos pools de host, grupos de aplicativos e workspaces. Essa separação permite que você tenha um controle mais granular sobre tarefas administrativas. Essas funções são nomeadas em conformidade com as funções padrões do Azure e a metodologia de privilégios mínimos. A Área de Trabalho Virtual do Azure não tem uma função de Proprietário específica, mas você pode usar a função de Proprietário geral com os objetos de serviço.

As funções internas da Área de Trabalho Virtual do Azure e as permissões de cada uma estão detalhadas abaixo. Você pode atribuir cada função ao escopo necessário. Alguns recursos da Área de Trabalho do Azure têm requisitos específicos para o escopo atribuído, e você pode encontrá-los na documentação do recurso relevante. Para obter mais informações, consulte Entender as definições de função do Azure e entender o escopo do RBAC do Azure.

Colaborador de Virtualização da Área de Trabalho

A função de Colaborador de Virtualização da Área de Trabalho permite o gerenciamento de todos os recursos da sua Área de Trabalho Virtual do Azure. Você também precisa da função Administrador de Acesso do Usuário para atribuir grupos de aplicativos a contas de usuário ou grupos de usuários. Essa função não concede aos usuários o acesso aos recursos de computação.

Usuário de Virtualização da Área de Trabalho

A função Usuário de Virtualização de Área de Trabalho permite que os usuários usem um aplicativo em um host de sessão de um grupo de aplicativos como um usuário não administrativo

Colaborador do Pool de Host de Virtualização da Área de Trabalho

A função de Colaborador do Pool de Hosts de Virtualização da Área de Trabalho permite gerenciar todos os aspectos de um pool de hosts. Você também precisa da função Colaborador de Máquina Virtual para criar máquinas virtuais e as funções Colaborador do Grupo de Aplicativos de Virtualização de Área de Trabalho e Colaborador do Workspace de Virtualização de Área de Trabalho para implantar a Área de Trabalho Virtual do Azure usando o portal ou pode usar a função Colaborador de Virtualização de Área de Trabalho .

Colaborador do Grupo de Aplicativos de Virtualização da Área de Trabalho

A função de Colaborador do Grupo de Aplicativos de Virtualização da Área de Trabalho permite o gerenciamento de todos os aspectos de um grupo de aplicativos. Se você quiser atribuir contas de usuário ou grupos de usuários a grupos de aplicativos também, também precisará da função administrador de acesso do usuário .

Colaborador do Workspace de Virtualização da Área de Trabalho

A função de Colaborador do Workspace de Virtualização da Área de Trabalho permite o gerenciamento de todos os aspectos dos workspaces. Para obter informações sobre aplicativos adicionados a um grupo de aplicativos relacionado, você também precisa da função Leitor de Grupo de Aplicativos de Virtualização de Área de Trabalho .

Operador da Sessão do Usuário da Virtualização da Área de Trabalho

A função Operador de Sessão do Usuário de Virtualização de Área de Trabalho permite enviar mensagens, desconectar sessões e usar a função de logoff para desconectar os usuários de um host de sessão. Mas, essa função não permite fazer o gerenciamento do pool de hosts ou do host de sessão, como remover um host de sessão, mudar o modo de drenagem e assim por diante. Essa função permite que você veja as atribuições, mas não permite modificar os membros. Recomendamos que você atribua essa função aos pools de host específicos. Se você atribuir essa função em um nível de grupo de recursos, ela fornecerá permissão de leitura em todos os pools de hosts em um grupo de recursos.

Operador do Host da Sessão de Virtualização da Área de Trabalho

A função de Operador de Host da Sessão de Virtualização da Área de Trabalho permite que você veja e remova hosts de sessão e altere o modo esvaziar. Essa função não pode adicionar hosts de sessão usando o portal do Azure porque não tem permissão de gravação para os objetos do pool de hosts. Para adicionar hosts de sessão fora do portal do Azure, se o token de registro for válido (gerado e não tiver expirado), essa função poderá adicionar hosts de sessão ao pool de hosts se a função Colaborador da Máquina Virtual também for atribuída.

Colaborador de Ligar a Virtualização da Área de Trabalho

A função de Colaborador de Ligar a Virtualização da Área de Trabalho permite que o Provedor de Recursos da Área de Trabalho Virtual do Azure para ligar as máquinas virtuais.

Colaborador de Ligar/Desligar a Virtualização da Área de Trabalho

A função de Colaborador de Ligar/Desligar a Virtualização da Área de Trabalho permite que o Provedor de Recursos da Área de Trabalho Virtual do Azure ligue e pare as máquinas virtuais.

Colaborador da Máquina Virtual de Virtualização da Área de Trabalho

A função de Colaborador da Máquina Virtual de Virtualização da Área de Trabalho permite que o Provedor de Recursos da Área de Trabalho Virtual do Azure crie, exclua, atualize, ligue e pare as máquinas virtuais.