Rollenbasierte Zugriffssteuerung (RBAC) für Azure Virtual Desktop
Azure Virtual Desktop verwendet die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) von Azure, um den Zugriff auf Ressourcen zu steuern. Es gibt zahlreiche integrierte Rollen für die Verwendung in Azure Virtual Desktop, bei denen es sich um eine Sammlung von Berechtigungen handelt. Sie weisen Benutzern und Administratoren Rollen zu, und diese Rollen erteilen die Berechtigung zum Ausführen bestimmter Aufgaben.
Die standardmäßigen integrierten Rollen für Azure sind Besitzer, Mitwirkender und Leser. Azure Virtual Desktop verfügt jedoch über zusätzliche Rollen, mit denen Sie Verwaltungsrollen für Hostpools, Anwendungsgruppen und Arbeitsbereiche trennen können. Diese Trennung ermöglicht Ihnen eine genauere Steuerung der administrativen Aufgaben. Diese Rollen sind gemäß den Azure-Standardrollen und der Methodik minimaler Berechtigungen benannt. Azure Virtual Desktop verfügt nicht über eine bestimmte Besitzerrolle, Sie können jedoch die allgemeine Rolle „Besitzer“ für die Dienstobjekte verwenden.
Die integrierten Rollen für Azure Virtual Desktop und die Berechtigungen für die einzelnen Rollen werden in diesem Artikel ausführlich beschrieben. Sie können jede Rolle dem benötigten Bereich zuweisen. Einige Azure Desktop-Features weisen spezifische Anforderungen für den zugewiesenen Bereich auf. Sie finden diese in der Dokumentation für das jeweilige Feature. Weitere Informationen finden Sie unter Grundlegendes zu Azure-Rollendefinitionen und Grundlegendes zum Bereich von Azure RBAC.
Desktopvirtualisierungsmitwirkender
Die Rolle „Mitwirkender der Desktopvirtualisierung“ ermöglicht die Verwaltung aller Azure Virtual Desktop-Ressourcen. Außerdem benötigen Sie die Rolle Benutzerzugriffsadministrator, um Benutzer*innen oder Benutzergruppen Anwendungsgruppen zuzuweisen. Diese Rolle gewährt Benutzer*innen jedoch keinen Zugriff auf Computeressourcen.
Desktopvirtualisierungsbenutzer
Mit der Rolle „Desktopvirtualisierungsbenutzer“ können Benutzer eine Anwendung auf einem Sitzungshost aus einer Anwendungsgruppe ohne Administratorrechte verwenden.
Hostpoolmitwirkender für die Desktopvirtualisierung
Mit der Rolle „Mitwirkender des Hostpools für Desktopvirtualisierung“ können alle Aspekte eines Hostpools verwaltet werden. Für die Erstellung von VMs benötigen Sie außerdem die Rolle Mitwirkender für VM und für die Bereitstellung von Azure Virtual Desktop über das Portal die Rollen Mitwirkender der Anwendungsgruppe für Desktopvirtualisierung und Mitwirkender des Arbeitsbereichs für Desktopvirtualisierung. Sie können aber auch die Rolle Mitwirkender der Desktopvirtualisierung verwenden.
Anwendungsgruppenmitwirkender für die Desktopvirtualisierung
Mit der Rolle „Mitwirkender der Anwendungsgruppe für Desktopvirtualisierung“ können alle Aspekte von Anwendungsgruppen verwaltet werden. Wenn Sie Benutzerkonten oder Benutzergruppen Anwendungsgruppen zuweisen möchten, benötigen Sie außerdem die Rolle Benutzerzugriffsadministrator.
Arbeitsbereichsmitwirkender für die Desktopvirtualisierung
Mit der Rolle „Mitwirkender des Arbeitsbereichs für Desktopvirtualisierung“ können alle Aspekte von Arbeitsbereichen verwaltet werden. Um Informationen über Anwendungen zu erhalten, die einer zugehörigen Anwendungsgruppe hinzugefügt wurden, benötigen Sie außerdem die Rolle Leser der Anwendungsgruppe für Desktopvirtualisierung.
Benutzersitzungsoperator für die Desktopvirtualisierung
Mit der Rolle „Operator der Benutzersitzung für Desktopvirtualisierung“ können Benutzer*innen Nachrichten senden, Sitzungen trennen und die Funktion Abmelden verwenden, um Benutzer*innen beim Sitzungshost abzumelden. Mit dieser Rolle können Sie jedoch keine Aktionen zur Hostpool- oder Sitzungshostverwaltung wie Entfernen eines Sitzungshosts, Ändern des Ausgleichsmodus usw. durchführen. Diese Rolle kann Zuweisungen anzeigen, aber keine Mitglieder ändern. Es wird empfohlen, diese Rolle bestimmten Hostpools zuzuweisen. Wenn Sie diese Rolle auf Ressourcengruppenebene zuweisen, wird die Leseberechtigung für alle Hostpools unter einer Ressourcengruppe erteilt.
Sitzungshostoperator für die Desktopvirtualisierung
Mit der Rolle „Operator des Sitzungshosts für Desktopvirtualisierung“ können Benutzer*innen Sitzungshosts anzeigen und entfernen sowie den Ausgleichsmodus ändern. Diese Rolle kann keine Sitzungshosts mithilfe des Azure-Portals hinzufügen, da sie nicht über die Schreibberechtigung für Hostpoolobjekte verfügt. Beim Hinzufügen von Sitzungshosts außerhalb des Azure-Portals gilt Folgendes: Wenn das Registrierungstoken gültig ist (erzeugt und nicht abgelaufen), kann diese Rolle dem Hostpool Sitzungshosts hinzufügen, wenn zudem die Rolle Mitwirkender für VM zugewiesen wurde.
Desktop Virtualization Power On-Mitwirkender
Mithilfe der Rolle „Power On-Mitwirkender für Desktopvirtualisierung“ kann der Azure Virtual Desktop-Ressourcenanbieter VMs starten.
Desktop Virtualization Power Off-Mitwirkender
Mithilfe der Rolle „Power On/Off-Mitwirkender für Desktopvirtualisierung“ kann der Azure Virtual Desktop-Ressourcenanbieter VMs starten und beenden.
Mitwirkender für Desktop Virtualization-VMs
Mithilfe der Rolle „Mitwirkender für Desktopvirtualisierungs-VM“ kann der Azure Virtual Desktop-Ressourcenanbieter VMs erstellen, löschen, aktualisieren, starten und beenden.