你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 虚拟桌面使用 Azure 基于角色的访问控制 (RBAC) 来控制对资源的访问。 有许多内置角色可用于 Azure 虚拟桌面,这些角色是权限集合。 将角色分配给用户和管理员,这些角色授予执行某些任务的权限。 若要详细了解 Azure RBAC,请参阅 什么是 Azure RBAC。
Azure 的标准内置角色是 所有者、 参与者和 读者。 但是,Azure 虚拟桌面具有更多角色,可让你将主机池、应用程序组和工作区的管理角色分开。 通过这种分离,你可以更精细地控制管理任务。 这些角色的命名符合 Azure 的标准角色和最低特权方法。 Azure 虚拟桌面没有特定的“所有者”角色,但可以对服务对象使用常规所有者角色。
本文详细介绍了 Azure 虚拟桌面的内置角色以及每个角色的权限。 可以将每个角色分配给所需的范围。 某些 Azure 桌面功能对分配的范围有特定要求,可以在相关功能的文档中找到这些要求。 有关详细信息,请参阅 了解 Azure 角色定义 和 了解 Azure RBAC 的范围。
有关所有可用内置角色的完整列表,请参阅 Azure 内置角色。
桌面虚拟化参与者
桌面虚拟化参与者角色允许管理除用户或组分配之外的所有 Azure 虚拟桌面资源。 如果要将用户帐户或用户组分配给资源,还需要 “用户访问管理员” 角色。 桌面虚拟化参与者角色不会向用户授予对计算资源的访问权限。
ID:082f0a83-3be5-4ba1-904c-961cca79b387
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | None |
桌面虚拟化读取器
桌面虚拟化读取者角色允许查看所有 Azure 虚拟桌面资源,但不允许更改。
ID:49a72310-ab8d-41df-bbb0-79b649203868
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | None |
桌面虚拟化用户
桌面虚拟化用户角色允许用户将会话主机上的应用程序从应用程序组用作非管理用户。
ID:1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63
| 操作类型 | 权限 |
|---|---|
| actions | None |
| notActions | None |
| dataActions |
|
| notDataActions | None |
桌面虚拟化主机池参与者
桌面虚拟化主机池参与者角色允许管理主机池的所有方面。 还需要 虚拟机参与者 角色来创建虚拟机、 桌面虚拟化应用程序组参与者 和 桌面虚拟化工作区参与者 角色才能使用门户部署 Azure 虚拟桌面,也可以使用 桌面虚拟化参与者 角色。
ID:e307426c-f9b6-4e81-87de-d99efb3c32bc
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | None |
桌面虚拟化主机池读取器
桌面虚拟化主机池读取者角色允许查看主机池的所有方面,但不允许更改。
ID:ceadfde2-b300-400a-ab7b-6143895aa822
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | None |
桌面虚拟化应用程序组参与者
桌面虚拟化应用程序组参与者角色允许管理应用程序组的所有方面,除了用户或组分配。 如果还要将用户帐户或用户组分配给应用程序组,则还需要 “用户访问管理员” 角色。
ID:86240b0e-9422-4c43-887b-b61143f32ba8
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | None |
桌面虚拟化应用程序组读取器
桌面虚拟化应用程序组读取者角色允许查看应用程序组的所有方面,但不允许更改。
ID:aebf23d0-b568-4e86-b8f9-fe83a2c6ab55
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | None |
桌面虚拟化工作区参与者
桌面虚拟化工作区参与者角色允许管理工作区的各个方面。 若要获取有关添加到相关应用程序组的应用程序的信息,还需要 “桌面虚拟化应用程序组读取者” 角色。
ID:21efdde3-836f-432b-bf3d-3e8e734d4b2b
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | None |
桌面虚拟化工作区读取器
桌面虚拟化工作区读取者角色允许用户查看工作区的所有方面,但不允许更改。
ID:0fa44ee9-7a7d-466b-9bb2-2bf446b1204d
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | None |
桌面虚拟化用户会话作员
桌面虚拟化用户会话作员角色允许发送消息、断开会话连接,并使用 logoff 函数将用户从会话主机中注销。 但是,此角色不允许管理主机池或会话主机,例如删除会话主机、更改排出模式等。 此角色可以看到分配,但无法修改成员。 建议将此角色分配给特定的主机池。 如果在资源组级别分配此角色,它将提供对资源组下的所有主机池的读取权限。
ID:ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | None |
桌面虚拟化会话主机作员
桌面虚拟化会话主机作员角色允许查看和删除会话主机,以及更改排出模式。 此角色无法使用 Azure 门户添加会话主机,因为它没有主机池对象的写入权限。 若要在Azure 门户外部添加会话主机,如果注册令牌是有效的 (生成的,并且) 未过期,则如果同时分配了虚拟机参与者角色,则此角色可以将会话主机添加到主机池。
ID:2ad6aaab-ead9-4eaa-8ac5-da422f562408
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | None |
桌面虚拟化 Power On 参与者
桌面虚拟化 Power On 参与者角色用于允许 Azure 虚拟桌面资源提供程序启动虚拟机。
ID:489581de-a3bd-480d-9518-53dea7416b33
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | None |
桌面虚拟化电源关闭参与者
桌面虚拟化电源关闭参与者角色用于允许 Azure 虚拟桌面资源提供程序启动和停止虚拟机。
ID:40c5ff49-9181-41f8-ae61-143b0e78555e
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | None |
桌面虚拟化虚拟机参与者
桌面虚拟化虚拟机参与者角色用于允许 Azure 虚拟桌面资源提供程序创建、删除、更新、启动和停止虚拟机。
ID:a959dbd1-f747-45e3-8ba6-dd80f235f97c
| 操作类型 | 权限 |
|---|---|
| actions |
|
| notActions | None |
| dataActions | None |
| notDataActions | 无 |