Funções RBAC do Azure incorporadas para o Azure Virtual Desktop

O Azure Virtual Desktop utiliza o controlo de acesso baseado em funções (RBAC) do Azure para controlar o acesso aos recursos. Existem muitas funções incorporadas para utilizar com o Azure Virtual Desktop que são uma coleção de permissões. Atribui funções a utilizadores e administradores e estas funções concedem permissão para realizar determinadas tarefas. Para saber mais sobre o RBAC do Azure, veja O que é o RBAC do Azure.

As funções incorporadas padrão do Azure são Proprietário, Contribuidor e Leitor. No entanto, o Azure Virtual Desktop tem mais funções que lhe permitem separar funções de gestão para conjuntos de anfitriões, grupos de aplicações e áreas de trabalho. Esta separação permite-lhe ter um controlo mais granular sobre as tarefas administrativas. Estas funções são nomeadas em conformidade com as funções padrão do Azure e a metodologia de menor privilégio. O Azure Virtual Desktop não tem uma função de Proprietário específica, mas pode utilizar a função de Proprietário geral para os objetos de serviço.

As funções incorporadas para o Azure Virtual Desktop e as permissões para cada uma delas são detalhadas neste artigo. Pode atribuir cada função ao âmbito de que precisa. Algumas funcionalidades do Azure Desktop têm requisitos específicos para o âmbito atribuído, que pode encontrar na documentação da funcionalidade relevante. Para obter mais informações, veja Compreender as definições de funções do Azure e Compreender o âmbito do RBAC do Azure.

Para obter uma lista completa de todas as funções incorporadas disponíveis, veja Funções incorporadas do Azure.

Contribuidor de Virtualização de Ambiente de Trabalho

A função Contribuidor de Virtualização de Ambiente de Trabalho permite gerir todos os recursos do Azure Virtual Desktop, para além da atribuição de utilizadores ou grupos. Se quiser atribuir contas de utilizador ou grupos de utilizadores a recursos, também precisa da função Administrador de Acesso de Utilizadores . A função Contribuidor de Virtualização de Ambiente de Trabalho não concede aos utilizadores acesso aos recursos de computação.

ID: 082f0a83-3be5-4ba1-904c-961cca79b387

Tipo de ação	Permissões
actions	Microsoft.DesktopVirtualization/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Leitor de Virtualização de Ambiente de Trabalho

A função Leitor de Virtualização de Ambiente de Trabalho permite ver todos os recursos do Azure Virtual Desktop, mas não permite alterações.

ID: 49a72310-ab8d-41df-bbb0-79b649203868

Tipo de ação	Permissões
actions	Microsoft.DesktopVirtualization//read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Utilizador de Virtualização de Ambiente de Trabalho

A função Utilizador de Virtualização de Ambiente de Trabalho permite que os utilizadores utilizem uma aplicação num anfitrião de sessão de um grupo de aplicações como um utilizador não administrativo.

ID: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Tipo de ação	Permissões
actions	Nenhum
notActions	Nenhum
dataActions	Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions	Nenhum

Contribuidor do Conjunto de Anfitriões de Virtualização de Ambiente de Trabalho

A função Contribuidor do Conjunto de Anfitriões de Virtualização de Ambiente de Trabalho permite gerir todos os aspetos de um conjunto de anfitriões. Também precisa da função Contribuidor de Máquina Virtual para criar máquinas virtuais e as funções Contribuidor do Grupo de Aplicações de Virtualização de Ambiente de Trabalho e Contribuidor da Área de Trabalho de Virtualização de Ambiente de Trabalho para implementar o Azure Virtual Desktop com o portal ou pode utilizar a função Contribuidor de Virtualização de Ambiente de Trabalho .

ID: e307426c-f9b6-4e81-87de-d99efb3c32bc

Tipo de ação	Permissões
actions	Microsoft.DesktopVirtualization/hostpools/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Leitor do Conjunto de Anfitriões de Virtualização de Ambiente de Trabalho

A função Leitor do Conjunto de Anfitriões de Virtualização de Ambiente de Trabalho permite ver todos os aspetos de um conjunto de anfitriões, mas não permite alterações.

ID: ceadfde2-b300-400a-ab7b-6143895aa822

Tipo de ação	Permissões
actions	Microsoft.DesktopVirtualization/hostpools//read Microsoft.DesktopVirtualization/hostpools/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Contribuidor do Grupo de Aplicações de Virtualização de Ambiente de Trabalho

A função Contribuidor do Grupo de Aplicações de Virtualização de Ambiente de Trabalho permite gerir todos os aspetos de um grupo de aplicações, para além da atribuição de utilizadores ou grupos. Se também quiser atribuir contas de utilizador ou grupos de utilizadores a grupos de aplicações, também precisa da função Administrador de Acesso de Utilizadores .

ID: 86240b0e-9422-4c43-887b-b61143f32ba8

Tipo de ação	Permissões
actions	Microsoft.DesktopVirtualization/applicationgroups/* Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Leitor do Grupo de Aplicações de Virtualização de Ambiente de Trabalho

A função Leitor do Grupo de Aplicações de Virtualização de Ambiente de Trabalho permite ver todos os aspetos de um grupo de aplicações, mas não permite alterações.

ID: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Tipo de ação	Permissões
actions	Microsoft.DesktopVirtualization/applicationgroups//read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Contribuidor da Área de Trabalho de Virtualização de Ambiente de Trabalho

A função Contribuidor da Área de Trabalho de Virtualização de Ambiente de Trabalho permite gerir todos os aspetos das áreas de trabalho. Para obter informações sobre aplicações adicionadas a um grupo de aplicações relacionado, também precisa da função Leitor do Grupo de Aplicações de Virtualização de Ambiente de Trabalho.

ID: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Tipo de ação	Permissões
actions	Microsoft.DesktopVirtualization/workspaces/* Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Leitor da Área de Trabalho de Virtualização de Ambiente de Trabalho

A função Leitor da Área de Trabalho de Virtualização de Ambiente de Trabalho permite que os utilizadores vejam todos os aspetos de uma área de trabalho, mas não permite alterações.

ID: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Tipo de ação	Permissões
actions	Microsoft.DesktopVirtualization/workspaces/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Operador de Sessão de Utilizador de Virtualização de Ambiente de Trabalho

A função Operador de Sessão de Utilizador de Virtualização de Ambiente de Trabalho permite enviar mensagens, desligar sessões e utilizar a função de fim de sessão para terminar sessão dos utilizadores de um anfitrião de sessão. No entanto, esta função não permite a gestão do conjunto de anfitriões ou do anfitrião de sessões, como remover um anfitrião de sessão, alterar o modo de drenagem, etc. Esta função pode ver atribuições, mas não pode modificar membros. Recomendamos que atribua esta função a conjuntos de anfitriões específicos. Se atribuir esta função ao nível de um grupo de recursos, esta fornecerá permissão de leitura em todos os conjuntos de anfitriões num grupo de recursos.

ID: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Tipo de ação	Permissões
actions	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Operador de Anfitrião de Sessões de Virtualização de Ambiente de Trabalho

A função Operador de Anfitrião de Sessões de Virtualização de Ambiente de Trabalho permite ver e remover anfitriões de sessão e alterar o modo de drenagem. Esta função não pode adicionar anfitriões de sessão com o portal do Azure porque não tem permissão de escrita para objetos do conjunto de anfitriões. Para adicionar anfitriões de sessão fora do portal do Azure, se o token de registo for válido (gerado e não tiver expirado), esta função pode adicionar anfitriões de sessão ao conjunto de anfitriões se a função Contribuidor de Máquina Virtual também estiver atribuída.

ID: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Tipo de ação	Permissões
actions	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Contribuidor do Power On da Virtualização de Ambiente de Trabalho

A função Contribuidor do Power On da Virtualização de Ambiente de Trabalho é utilizada para permitir que o Fornecedor de Recursos do Azure Virtual Desktop inicie máquinas virtuais.

ID: 489581de-a3bd-480d-9518-53dea7416b33

Tipo de ação	Permissões
actions	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Contribuidor de Desativação da Ativação da Virtualização de Ambiente de Trabalho

A função Contribuidor Desativado da Virtualização de Ambiente de Trabalho é utilizada para permitir que o Fornecedor de Recursos do Azure Virtual Desktop inicie e pare as máquinas virtuais.

ID: 40c5ff49-9181-41f8-ae61-143b0e78555e

Tipo de ação	Permissões
actions	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Insights/eventtypes/values/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Contribuidor de Máquina Virtual de Virtualização de Ambiente de Trabalho

A função Contribuidor de Máquina Virtual de Virtualização de Ambiente de Trabalho é utilizada para permitir que o Fornecedor de Recursos do Azure Virtual Desktop crie, elimine, atualize, inicie e pare máquinas virtuais.

ID: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Tipo de ação	Permissões
actions	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read Microsoft.Compute/availabilitySets/read Microsoft.Compute/availabilitySets/write Microsoft.Compute/availabilitySets/vmSizes/read Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/disks/delete Microsoft.Compute/galleries/read Microsoft.Compute/galleries/images/read Microsoft.Compute/galleries/images/versions/read Microsoft.Compute/images/read Microsoft.Compute/locations/usages/read Microsoft.Compute/locations/vmSizes/read Microsoft.Compute/operations/read Microsoft.Compute/skus/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/runCommand/action Microsoft.Compute/virtualMachines/extensions/read Microsoft.Compute/virtualMachines/extensions/write Microsoft.Compute/virtualMachines/extensions/delete Microsoft.Compute/virtualMachines/runCommands/read Microsoft.Compute/virtualMachines/runCommands/write Microsoft.Compute/virtualMachines/vmSizes/read Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/delete Microsoft.Network/virtualNetworks/sub-redes/read Microsoft.Network/virtualNetworks/sub-redes/join/action Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read Microsoft.KeyVault/vaults/deploy/action Microsoft.Storage/storageAccounts/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read
notActions	Nenhum
dataActions	Nenhum
notDataActions	Nenhum

Feedback

Esta página foi útil?

Last updated on 2025-06-20