Hinzufügen der Lab-Rollen Besitzer, Mitwirkender und Benutzer in Azure DevTest Labs
In Azure DevTest Labs wird die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) verwendet, um Rollen zu definieren, die nur über den erforderlichen Zugriff für bestimmte Lab-Aufgaben verfügen. In DevTest Labs gibt es drei integrierte Rollen: Besitzer, Mitwirkender und DevTest Labs-Benutzer. In diesem Artikel werden die Aufgaben beschrieben, die mit den einzelnen Rollen durchgeführt werden können, und es wird erläutert, wie den Lab-Rollen über das Azure-Portal oder mithilfe eines Azure PowerShell-Skripts Mitglieder hinzugefügt werden können.
Aktionen, die die einzelnen Rollen ausführen können
Die Lab-Rollen Besitzer, Mitwirkender und DevTest Labs-Benutzer können in DevTest Labs folgende Aktionen ausführen:
Besitzer
Die Lab-Rolle Besitzer kann folgende Aktionen ausführen:
Lab-Aufgaben:
- Hinzufügen von Benutzer*innen zum Lab
- Aktualisieren von Kosteneinstellungen
Grundlegende Aufgaben für virtuelle Computer:
- Hinzufügen und Entfernen von benutzerdefinierten Images
- Hinzufügen, Aktualisieren und Löschen von Formeln
- Aktivieren von Marketplace-Images
Aufgaben für virtuelle Computer:
- Erstellen von virtuellen Computern
- Starten, Beenden oder Löschen von virtuellen Computern
- Aktualisieren von VM-Richtlinien
- Hinzufügen oder Entfernen von VM-Datenträgern
Artefakt-Aufgaben:
- Hinzufügen und Entfernen von Artefaktrepositorys
- Anwenden von Artefakten auf virtuelle Computer
Mitwirkender
Die Lab-Rolle Mitwirkender kann dieselben Aktionen ausführen wie die Lab-Rolle Besitzer, kann Labs jedoch keine Benutzer*innen hinzufügen.
DevTest Labs-Benutzer
Die Rolle DevTest Labs-Benutzer kann in DevTest Labs folgende Aktionen ausführen:
- Hinzufügen, Aktualisieren und Löschen von Formeln auf VM-Basis
- Erstellen von virtuellen Computern
- Starten, Beenden oder Löschen von VMs, die vom Benutzer erstellt wurden
- Hinzufügen oder Entfernen von Datenträgern auf virtuellen Computern, die vom Benutzer erstellt wurden
- Anwenden von Artefakten auf virtuelle Computer
Hinweis
Lab-Benutzer*innen verfügen auf VMs, die sie erstellen, automatisch über die Rolle Besitzer.
Hinzufügen von Besitzern, Mitwirkenden oder DevTest Labs-Benutzern
Ein Lab-Besitzer kann den Lab-Rollen über das Azure-Portal oder mithilfe eines Azure PowerShell-Skripts Mitglieder hinzufügen. Bei dem hinzuzufügenden Benutzer kann es sich um einen externen Benutzer mit gültigem Microsoft-Konto (MSA) handeln.
Azure-Berechtigungen werden vom übergeordneten Bereich an den untergeordneten Bereich weitergegeben. Besitzer eines Azure-Abonnements, das Labs enthält, sind automatisch Besitzer des DevTest Labs-Diensts, der Labs und der Lab-VMs und -Ressourcen des Abonnements. Abonnementbesitzer können Labs im Abonnement Besitzer, Mitwirkende und DevTest Labs-Benutzer hinzufügen.
Hinweis
Der Verwaltungsbereich des hinzugefügten Lab-Besitzers ist jedoch weniger umfangreich als der Bereich des Abonnementbesitzers. Besitzer haben auf einige vom DevTest Labs-Dienst erstellte Ressourcen keinen Vollzugriff.
Voraussetzungen
Zum Hinzufügen von Mitgliedern zu einem Lab müssen Sie folgende Voraussetzungen erfüllen:
- Sie müssen Besitzer des Labs sein, entweder direkt oder durch Vererbung als Abonnementbesitzer.
- Sie müssen Sich beim Azure-Portal als Besitzer oder Benutzerzugriffsadministrator anmelden.
Hinzufügen eines Lab-Mitglieds über das Azure-Portal
So fügen Sie ein Mitglied hinzu:
- Öffnen Sie auf Abonnementebene die Abonnementseite.
- Öffnen Sie auf Lab-Ebene die Ressourcengruppe, die über das Lab verfügt, und wählen Sie in der Ressourcenliste das Lab aus.
Wählen Sie im linken Navigationsbereich für das Abonnement oder das Lab die Option Zugriffssteuerung (IAM) aus.
Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.
Wählen Sie auf der Seite Rollenzuweisung hinzufügen die Rolle Besitzer, Mitwirkender oder DevTest Labs-Benutzer und dann Weiter aus.
Wählen Sie auf der Registerkarte Mitglieder die Option Mitglieder auswählen aus.
Wählen Sie auf dem Bildschirm Mitglieder auswählen das Mitglied aus, das Sie hinzufügen möchten, und wählen Sie dann Auswählen aus.
Wählen Sie Überprüfen und zuweisen aus, und klicken Sie nach dem Überprüfen der Details erneut auf Überprüfen und zuweisen.
Hinzufügen eines DevTest Labs-Benutzers zu einem Lab mithilfe von Azure PowerShell
Hinweis
Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.
Sie können einem Lab einen DevTest Labs-Benutzer hinzufügen, indem Sie das folgende Azure PowerShell-Skript verwenden. Das Skript erfordert, dass der Benutzer in Microsoft Entra ID enthalten ist. Informationen zum Hinzufügen eines externen Benutzers zu Microsoft Entra ID als Gast finden Sie unter Hinzufügen eines neuen Gastbenutzers. Wenn sich der Benutzer nicht in Microsoft Entra ID befindet, verwenden Sie stattdessen das Portal.
Aktualisieren Sie im folgenden Skript die Parameterwerte unter dem Kommentar # Values to change. Sie können die Werte für subscriptionId, labResourceGroup und labName auf der Hauptseite des Labs im Azure-Portal abrufen.
# Add an external user to a lab user role in DevTest Labs.
# Make sure the guest user is added to Azure AD.
# Values to change
$subscriptionId = "<Azure subscription ID>"
$labResourceGroup = "<Lab's resource group name>"
$labName = "<Lab name>"
$userDisplayName = "<User's display name>"
# Log into your Azure account.
Connect-AzAccount
# Select the Azure subscription that contains the lab. This step is optional if you have only one subscription.
Select-AzSubscription -SubscriptionId $subscriptionId
# Get the user object.
$adObject = Get-AzADUser -SearchString $userDisplayName
# Create the role assignment.
$labId = ('subscriptions/' + $subscriptionId + '/resourceGroups/' + $labResourceGroup + '/providers/Microsoft.DevTestLab/labs/' + $labName)
New-AzRoleAssignment -ObjectId $adObject.Id -RoleDefinitionName 'DevTest Labs User' -Scope $labId
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für