Ereignisse
17. März, 21 Uhr - 21. März, 10 Uhr
Nehmen Sie an der Meetup-Serie teil, um skalierbare KI-Lösungen basierend auf realen Anwendungsfällen mit Mitentwicklern und Experten zu erstellen.
Jetzt registrierenRollenbasierte Azure-Zugriffssteuerung in Microsoft Dev Box
In diesem Artikel werden die verschiedenen integrierten Rollen beschrieben, die Microsoft Dev Box unterstützt. Außerdem erfahren Sie, wie sie organisatorischen Rollen wie Plattformtechniker und Dev-Manager zugeordnet werden.
Die rollenbasierte Zugriffssteuerung (RBAC) in Azure legt integrierte Rollendefinitionen fest, welche die anzuwendenden Berechtigungen beschreiben. Sie weisen einem Benutzer oder einer Gruppe diese Rollendefinition über eine Rollenzuweisung für einen bestimmten Bereich zu. Der Bereich kann eine einzelne Ressource, eine Ressourcengruppe oder das gesamte Abonnement sein. Im nächsten Abschnitt erfahren Sie, welche integrierten Rollen Microsoft Dev Box unterstützt.
Weitere Informationen finden Sie unter Was ist die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC)?
Hinweis
Wenn Sie Änderungen an der Rollenzuweisung vornehmen, kann es einige Minuten dauern, bis diese greifen.
In diesem Artikel werden die integrierten Azure-Rollen logisch in drei organisatorische Rollentypen gruppiert, basierend auf ihrem Einflussbereich:
Rollen des Plattformtechnikers: Einfluss auf Berechtigungen für Dev Center-Instanzen, Kataloge und Projekte
Dev-Manager: Einfluss auf Berechtigungen für projektbasierte Ressourcen
Entwicklerrollen: Einfluss auf Berechtigungen für Benutzer
Die folgenden vordefinierten Rollen werden von Microsoft Dev Box unterstützt:
| Organisatorischer Rollentyp | Integrierte Rolle | Beschreibung |
|---|---|---|
| Plattformtechniker*in | Besitzer | Zuweisen von Vollzugriff zum Erstellen/Verwalten von Dev Center-Instanzen, Katalogen und Projekten und Zuweisen von Berechtigungen für andere Benutzer. Weitere Informationen zur Rolle Besitzer |
| Plattformtechniker*in | Mitwirkender | Zuweisen von Vollzugriff zum Erstellen/Verwalten von Dev Center-Instanzen, Katalogen und Projekten, mit Ausnahme des Zuweisens von Rollen für andere Benutzer. Weitere Informationen zur Rolle Mitwirkender |
| Dev-Manager | DevCenter-Projektadministrator | Zuweisen der Berechtigung zum Verwalten bestimmter Aspekte von Projekten und Dev-Boxen. Erfahren Sie mehr über die Rolle „DevCenter-Projektadministrator“. |
| Entwickler | Dev-Box-Benutzer | Zuweisen der Berechtigung, um Dev-Boxen zu erstellen, und Vollzugriff auf selbst erstellte Dev-Boxen. Erfahren Sie mehr über die Rolle „Dev Box-Benutzer“. |
In Azure RBAC ist ein Bereich der Ressourcensatz, für den Zugriffsberechtigungen gelten. Wenn Sie eine Rolle zuweisen, ist es wichtig, den Bereich zu kennen, damit Sie nur den benötigten Zugriff gewähren.
In Azure können Sie auf vier Ebenen einen Bereich angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Bereiche sind in einer Beziehung zwischen über- und untergeordneten Elementen strukturiert. Mit jeder Hierarchieebene wird der Bereich spezifischer. Sie können Rollen auf jeder dieser Bereichsebenen zuweisen. Die von Ihnen ausgewählte Ebene bestimmt, wie umfassend die Rolle angewendet wird. Niedrigere Ebenen erben die Rollenberechtigungen von höheren Ebenen. Hier erfahren Sie mehr über Bereiche für Azure RBAC.
Berücksichtigen Sie für Microsoft Dev Box die folgenden Bereiche:
| Bereich | Beschreibung |
|---|---|
| Abonnement | Wird verwendet, um Abrechnung und Sicherheit für alle Azure-Ressourcen und -Dienste zu verwalten. Normalerweise haben nur Plattformtechniker Zugriff auf Abonnementebene, da diese Rollenzuweisung den Zugriff auf alle Ressourcen im Abonnement gewährt. |
| Resource group | Ein logischer Container zum Gruppieren von Ressourcen. Die Rollenzuweisung für die Ressourcengruppe gewährt Berechtigungen für die Ressourcengruppe und alle darin enthaltenen Ressourcen, z. B. Dev Center-Instanzen, Dev-Box-Definitionen, Dev-Box-Pools, Projekte und Dev-Boxen. |
| Dev Center (Ressource) | Eine Sammlung von Projekten, die ähnliche Einstellungen erfordern. Die Rollenzuweisung für Dev Center gewährt Dev Center selbst die Berechtigung. Für Dev Center-Instanzen zugewiesene Berechtigungen werden nicht von anderen Dev-Box-Ressourcen geerbt. |
| Projekt (Ressource) | Eine Azure-Ressource, die verwendet wird, um allgemeine Konfigurationseinstellungen anzuwenden, wenn Sie eine Dev-Box erstellen. Die Rollenzuweisung für das Projekt gewährt nur diesem bestimmten Projekt Berechtigungen. |
| Dev-Box-Pool (Ressource) | Eine Sammlung von Dev-Boxen, die Sie zusammen verwalten und auf die Sie ähnliche Einstellungen anwenden. Die Rollenzuweisung für den Dev-Box-Pool gewährt nur diesem bestimmten Dev-Box-Pool Berechtigungen. |
| Dev-Box-Definition (Ressource) | Eine Azure-Ressource, die ein Quellimage und eine Größe angibt, einschließlich Compute- und Speichergröße. Die Rollenzuweisung für die Dev-Box-Definition gewährt nur dieser bestimmten Dev-Box-Definition Berechtigungen. |
Die folgende Tabelle enthält allgemeine Dev Box-Aktivitäten und die Rolle, die für einen Benutzer zum Ausführen dieser Aktivität erforderlich ist.
| Aktivität | Rollentyp | Rolle | Bereich |
|---|---|---|---|
| Gewähren der Berechtigung zum Erstellen einer Ressourcengruppe. | Plattformtechniker*in | Besitzer oder Mitwirkender | Abonnement |
| Gewähren der Berechtigung zum Übermitteln eines Microsoft-Supporttickets, einschließlich zum Anfordern von Kapazität. | Plattformtechniker*in | Besitzer, Mitwirkender, Mitwirkender bei Supportanfragen | Abonnement |
| Zuweisung der Berechtigung zum Erstellen virtueller Netzwerke und Subnetze | Plattformtechniker*in | Mitwirkender von virtuellem Netzwerk | Resource group |
| Zuweisung der Berechtigung zum Erstellen einer Netzwerkverbindung | Plattformtechniker*in | Besitzer oder Mitwirkender | Resource group |
| Zuweisung der Berechtigung, um anderen Benutzern Rollen zuzuweisen | Plattformtechniker*in | Besitzer | Resource group |
| Zuweisung der Berechtigung zum: - Erstellen/Verwalten von Dev Center-Instanzen - Hinzufügen/Entfernen von Netzwerkverbindungen - Hinzufügen/Entfernen von Azure Compute Gallery-Instanzen - Erstellen/Verwalten von Dev-Box-Definitionen - Erstellen/Verwalten von Projekten - Anfügen eines Katalogs an eine Dev Center-Instanz oder ein Projekt bzw. Verwalten dieses Katalogs (Kataloge auf Projektebene müssen für Dev Center aktiviert werden.) - Konfigurieren von Dev-Box-Grenzwerten |
Plattformtechniker*in | Mitwirkender | Resource group |
| Zuweisung der Berechtigung zum Hinzufügen oder Entfernen einer Netzwerkverbindung für eine Dev Center-Instanz | Plattformtechniker*in | Mitwirkender | Dev Center |
| Zuweisung der Berechtigung zum Aktivieren/Deaktivieren von Projektkatalogen | Dev-Manager | Mitwirkender | Dev Center |
| Zuweisung der Berechtigung zum: - Hinzufügen, Synchronisieren, Entfernen des Katalogs (Kataloge auf Projektebene müssen für Dev Center aktiviert werden.) - Erstellen von Dev-Box-Pools - Beenden, Starten, Löschen von Dev-Boxen in Pools |
Dev-Manager | DevCenter-Projektadministrator | Projekt |
| Erstellen und Verwalten Ihrer eigenen Dev-Boxen in einem Projekt | Benutzer | Dev-Box-Benutzer | Projekt |
| Erstellen und Verwalten von Katalogen in einem GitHub- oder Azure Repos-Repository | Dev-Manager | Nicht von RBAC geregelt.
- Dem Benutzer müssen Berechtigungen über Azure DevOps oder GitHub zugewiesen werden. |
Repository |
Wichtig
Das Abonnement einer Organisation wird verwendet, um die Abrechnung und Sicherheit für alle Azure-Ressourcen und -Dienste zu verwalten. Sie können die Rolle „Besitzer“ oder „Mitwirkender“ für das Abonnement zuweisen. Normalerweise haben nur Plattformtechniker Zugriff auf Abonnementebene, da dies den Vollzugriff auf alle Ressourcen im Abonnement umfasst.
Um Benutzern die Berechtigung zum Verwalten von Microsoft Dev Box innerhalb des Abonnements Ihrer Organisation zu gewähren, sollten Sie ihnen die Rolle Besitzer oder Mitwirkender zuweisen.
Weisen Sie diese Rollen der Ressourcengruppe zu. Die Dev Center-Instanzen, Netzwerkverbindungen, Dev-Box-Definitionen, Dev-Box-Pools und Projekte innerhalb der Ressourcengruppe erben diese Rollenzuweisungen.
Weisen Sie die Rolle „Besitzer“ zu, um einem Benutzer Vollzugriff zum Erstellen oder Verwalten von Dev Box-Ressourcen zu gewähren und anderen Benutzern Berechtigungen zu erteilen. Wenn ein Benutzer über die Rolle „Besitzer“ in der Ressourcengruppe verfügt, kann er die folgenden Aktivitäten für alle Ressourcen innerhalb der Ressourcengruppe ausführen:
Zuweisen von Rollen an Plattformtechniker, damit sie Dev Box-Ressourcen verwalten können
Erstellen von Dev Center-Instanzen, Netzwerkverbindungen, Dev-Box-Definitionen, Dev-Box-Pools und Projekten
Anzeigen, Löschen und Ändern von Einstellungen für alle Dev Center-Instanzen, Netzwerkverbindungen, Dev-Box-Definitionen, Dev-Box-Pools und Projekte
Anfügen und Trennen von Katalogen
Achtung
Wenn Sie in der Ressourcengruppe die Rolle „Besitzer“ oder „Mitwirkender“ zuweisen, gelten diese Berechtigungen auch für nicht Dev Box-bezogene Ressourcen, die in der Ressourcengruppe vorhanden sind.
Weisen Sie die Rolle „Mitwirkender“ zu, um einem Benutzer den Vollzugriff zum Erstellen oder Verwalten von Dev Center-Instanzen und Projekten innerhalb einer Ressourcengruppe zu gewähren. Die Rolle „Mitwirkender“ verfügt über die gleichen Berechtigungen wie die Rolle „Besitzer“, mit Ausnahme von:
- Ausführen von Rollenzuweisungen
Es gibt eine Dev-Manager-Rolle: DevCenter-Projektadministrator. Diese Rolle verfügt über eingeschränktere Berechtigungen auf niedrigeren Ebenen als die Rollen des Plattformtechnikers. Sie können diese Rolle Dev-Managern zuweisen, damit sie administrative Aufgaben für ihr Team ausführen können.
Weisen Sie die Rolle „DevCenter-Projektadministrator“ zu, um Folgendes zu ermöglichen:
Hinzufügen, Synchronisieren, Entfernen des Katalogs (Kataloge auf Projektebene müssen in Dev Center aktiviert werden.)
Erstellen von Dev-Box-Pools
Beenden, Starten, Löschen von Dev-Boxen in Pools
Es gibt eine Entwicklerrolle: Dev Box-Benutzer. Mit dieser Rolle können Entwickler eigene Dev-Boxen erstellen und verwalten.
Weisen Sie die Rolle „Dev Box-Benutzer“ zu, um Benutzern die Berechtigung zum Erstellen von Dev-Boxen und Vollzugriff auf selbst erstellte Dev-Boxen zu erteilen. Entwickler können die folgenden Aktionen für jede von ihnen erstellte Dev-Box ausführen:
- Erstellen
- Starten/Beenden
- Neu starten
- Verzögern des geplanten Herunterfahrens
- Löschen
Die Seite Zugriffssteuerung (IAM) im Azure-Portal dient zum Konfigurieren der rollenbasierten Azure-Zugriffssteuerung für Microsoft Dev Box-Ressourcen. Sie können integrierte Rollen für Einzelpersonen und Gruppen in Active Directory verwenden. Der folgende Screenshot zeigt die Active Directory-Integration (Azure RBAC) mithilfe der Zugriffssteuerung (IAM) im Azure-Portal:
Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
Ihre Organisation sollte vorab Zeit investieren, um die Platzierung Ihrer Dev Center-Instanzen und die Struktur von Ressourcengruppen und Projekten zu planen.
Dev Center-Instanzen: Organisieren der Dev Center-Instanzen anhand der Projekte, die gemeinsam verwalten werden sollen, indem ähnliche Einstellungen angewendet und ähnliche Vorlagen bereitgestellt werden.
Organisationen können eine oder mehrere Dev Center-Instanzen verwenden. In der Regel verfügt jede Unterorganisation innerhalb der Organisation über eine eigene Dev Center-Instanz. Sie können in den folgenden Fällen mehrere Dev Center erstellen:
Wenn bestimmte Konfigurationen für eine Teilmenge von Projekten verfügbar sein sollen.
Wenn verschiedene Teams die Dev Center-Ressource in Azure besitzen und verwalten müssen.
Projekte: Mit jedem Entwicklerteam oder jeder Gruppe von Personen verbunden, die an einer App oder einem Produkt arbeiten
Die Planung ist besonders wichtig, wenn Sie der Ressourcengruppe Rollen zuweisen, da dies auch Berechtigungen für alle Ressourcen in der Ressourcengruppe zuweist, einschließlich Dev Center-Instanzen, Netzwerkverbindungen, Dev-Box-Definitionen, Dev-Box-Pols und Projekte.
So stellen Sie sicher, dass Benutzern nur Berechtigungen für die gewünschten Ressourcen erteilt werden:
Erstellen Sie Ressourcengruppen, die nur Dev Box-Ressourcen enthalten.
Organisieren Sie Projekte entsprechend den erforderlichen Dev-Box-Definitionen und Dev-Box-Pools und den Entwicklern, die Zugriff haben sollen. Es ist wichtig zu beachten, dass Dev-Box-Pools den Standort der Dev-Box-Erstellung bestimmen. Entwickler sollten Dev-Boxen in ihrer Nähe erstellen, um die Wartezeit so gering wie möglich zu halten.
Sie können beispielsweise separate Projekte für verschiedene Entwicklerteams erstellen, um die Ressourcen jedes Teams zu isolieren. Dev-Managern in einem Projekt kann dann die Rolle „Projektadministrator“ zugewiesen werden, welche ihnen nur Zugriff auf die Ressourcen ihres Teams gewährt.
Wichtig
Planen Sie die Struktur vorab, da es nicht möglich ist, Dev Box-Ressourcen wie Projekte nach ihrer Erstellung in eine andere Ressourcengruppe zu verschieben.
Microsoft Dev Box nutzt Kataloge, um Entwicklern die Bereitstellung von Anpassungen für Dev-Boxen mithilfe eines Aufgabenkatalogs und einer Anpassungsdatei zu ermöglichen, um Software zu installieren, Erweiterungen hinzuzufügen, Repositorys zu klonen u. v. m.
Microsoft Dev Box speichert Kataloge entweder in einem GitHub-Repository oder einem Azure DevOps Services-Repository. Sie können einen Katalog an eine Dev Center-Instanz oder an ein Projekt anfügen.
Sie können einen oder mehrere Kataloge an Ihre Dev Center-Instanz anfügen und alle Anpassungen auf dieser Ebene verwalten. Um eine höhere Granularität beim Zugriff auf Anpassungen durch Entwickler zu ermöglichen, können Sie Kataloge auf Projektebene anfügen. Berücksichtigen Sie die Bedürfnisse jedes Entwicklungsteams, wenn Sie planen, wo Kataloge angefügt werden sollen.
Zusätzliche Ressourcen
Training
Lernpfad
Lösungsarchitekt: Microsoft Power Platform-Lösungen entwerfen - Training
Erfahren Sie, wie ein Lösungsarchitekt Lösungen entwirft.
Zertifizierung
Microsoft Certified: Identity and Access Administrator Associate - Certifications
Veranschaulichen der Features von Microsoft Entra ID, um Identitätslösungen zu modernisieren sowie Hybridlösungen und Identitätsgovernance zu implementieren