Azure-rollenbasierte Zugriffssteuerung in Azure Lab Services
Azure Lab Services bietet integrierte rollenbasierte Azure-Zugriffssteuerung (Azure RBAC) für allgemeine Verwaltungsszenarien in Azure Lab Services. Eine Person, die über ein Profil in der Microsoft Entra-ID verfügt, kann Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten diese Azure-Rollen zuweisen oder verweigern, um Ressourcen und Vorgänge in Azure Lab Services-Ressourcen zu gewähren oder zu verweigern. In diesem Artikel werden die verschiedenen integrierten Rollen beschrieben, die Azure Lab Services unterstützt.
Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure ist ein Autorisierungssystem, das auf Azure Resource Manager basiert und eine präzise Verwaltung des Zugriffs auf Azure-Ressourcen ermöglicht.
Azure RBAC gibt integrierte Rollendefinitionen an, die die anzuwendenden Berechtigungen beschreiben. Sie weisen einem Benutzer oder einer Gruppe diese Rollendefinition über eine Rollenzuweisung für einen bestimmten Bereich zu. Der Bereich kann eine einzelne Ressource, eine Ressourcengruppe oder das gesamte Abonnement sein. Im nächsten Abschnitt erfahren Sie, welche integrierten Rollen Azure Lab Services unterstützt.
Weitere Informationen finden Sie unter Was ist die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC)?
Hinweis
Wenn Sie Änderungen an der Rollenzuweisung vornehmen, kann es einige Minuten dauern, bis diese Aktualisierungen verteilt werden.
Integrierte Rollen
In diesem Artikel werden die integrierten Azure-Rollen logisch in zwei Rollentypen gruppiert, basierend auf ihrem Einflussbereich:
- Administratorrollen: Einfluss auf Berechtigungen für Laborpläne und Labore
- Laborverwaltungsrollen: Einfluss auf Berechtigungen für Labore
Im Folgenden sind die integrierten Rollen aufgeführt, die von Azure Lab Services unterstützt werden:
| Rollentyp | Integrierte Rolle | Beschreibung |
|---|---|---|
| Administrator | Besitzer | Gewähren Sie voll kontrolle, um Laborpläne und Labore zu erstellen/zu verwalten, und erteilen Sie anderen Benutzern Berechtigungen. Erfahren Sie mehr über die Rolle " Besitzer". |
| Administrator | Mitwirkender | Gewähren Sie voller Kontrolle zum Erstellen/Verwalten von Laborplänen und Laboren, mit Ausnahme der Zuweisung von Rollen zu anderen Benutzern. Erfahren Sie mehr über die Rolle "Mitwirkender". |
| Administrator | Mitwirkender für Lab Services | Erteilen Sie die gleichen Berechtigungen wie die Rolle "Besitzer", mit Ausnahme der Zuweisung von Rollen. Erfahren Sie mehr über die Rolle "Lab Services-Mitwirkender". |
| Laborverwaltung | Lab-Ersteller | Erteilen Sie die Berechtigung zum Erstellen von Laboren und haben voll kontrolle über die von ihnen erstellten Labore. Erfahren Sie mehr über die Lab Creator-Rolle. |
| Laborverwaltung | Lab-Mitwirkender | Erteilen Sie die Berechtigung, um ein vorhandenes Labor zu verwalten, aber keine neuen Labore zu erstellen. Erfahren Sie mehr über die Rolle "Lab-Mitwirkender". |
| Laborverwaltung | Lab-Assistent | Erteilen Sie die Berechtigung zum Anzeigen einer vorhandenen Übung. Kann auch jeden virtuellen Computer im Labor starten, beenden oder neu abbilden. Erfahren Sie mehr über die Rolle " Lab Assistant". |
| Laborverwaltung | Lab Services Reader | Erteilen Sie die Berechtigung zum Anzeigen vorhandener Labore. Erfahren Sie mehr über die Rolle " Lab Services Reader". |
Rollenzuweisungsbereich
In Azure RBAC ist der Bereich die Gruppe von Ressourcen, auf die zugegriffen wird. Wenn Sie eine Rolle zuweisen, ist es wichtig, den Bereich zu verstehen, damit Sie nur den benötigten Zugriff gewähren.
In Azure können Sie auf vier Ebenen einen Bereich angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Bereiche sind in einer Beziehung zwischen über- und untergeordneten Elementen strukturiert. Mit jeder Hierarchieebene wird der Bereich spezifischer. Sie können Rollen auf jeder dieser Bereichsebenen zuweisen. Die von Ihnen ausgewählte Ebene bestimmt, wie umfassend die Rolle angewendet wird. Niedrigere Ebenen erben die Rollenberechtigungen von höheren Ebenen. Erfahren Sie mehr über den Umfang von Azure RBAC.
Berücksichtigen Sie für Azure Lab Services die folgenden Bereiche:
| `Scope` | Beschreibung |
|---|---|
| Subscription | Wird verwendet, um Abrechnung und Sicherheit für alle Azure-Ressourcen und -Dienste zu verwalten. Normalerweise haben nur Administratoren Zugriff auf Abonnementebene, da diese Rollenzuweisung Zugriff auf alle Ressourcen im Abonnement gewährt. |
| Resource group | Ein logischer Container zum Gruppieren von Ressourcen. Die Rollenzuweisung für die Ressourcengruppe gewährt berechtigungen für die Ressourcengruppe und alle darin enthaltenen Ressourcen, z. B. Labore und Laborpläne. |
| Lab-Plan | Eine Azure-Ressource, die verwendet wird, um allgemeine Konfigurationseinstellungen anzuwenden, wenn Sie ein Lab erstellen. Die Rollenzuweisung für den Laborplan gewährt nur einem bestimmten Laborplan Die Berechtigung. |
| Labor | Eine Azure-Ressource, die verwendet wird, um allgemeine Konfigurationseinstellungen zum Erstellen und Ausführen virtueller Laborcomputer anzuwenden. Die Rollenzuweisung für das Lab gewährt nur einem bestimmten Labor Berechtigungen. |
Wichtig
In Azure Lab Services sind Laborpläne und Labore gleichgeordnete Ressourcen miteinander. Daher erben Labs keine Rollenzuweisungen aus dem Laborplan. Rollenzuweisungen aus der Ressourcengruppe werden jedoch von Laborplänen und Laboren in dieser Ressourcengruppe geerbt.
Rollen für allgemeine Lab-Aktivitäten
Die folgende Tabelle enthält allgemeine Lab-Aktivitäten und die Rolle, die für einen Benutzer zum Ausführen dieser Aktivität erforderlich ist.
| Aktivität | Rollentyp | Role | `Scope` |
|---|---|---|---|
| Erteilen sie die Berechtigung zum Erstellen einer Ressourcengruppe. Eine Ressourcengruppe ist ein logischer Container in Azure, um die Laborpläne und Labore zu halten. Bevor Sie einen Lab-Plan oder ein Lab erstellen können, muss diese Ressourcengruppe vorhanden sein. | Administrator | Besitzer oder Mitwirkender | Subscription |
| Erteilen Sie die Berechtigung zum Übermitteln eines Microsoft-Supporttickets, einschließlich der Anforderung der Kapazität. | Administrator | Besitzer, Mitwirkender, Supportanfrage-Mitwirkender | Subscription |
| Erteilen von Berechtigungen für: – Weisen Sie anderen Benutzern Rollen zu. – Erstellen/Verwalten von Laborplänen, Laboren und anderen Ressourcen innerhalb der Ressourcengruppe. – Aktivieren/Deaktivieren von Marketplace und benutzerdefinierten Bildern in einem Laborplan. – Anfügen/Trennen des Berechnungskatalogs in einem Laborplan. |
Administrator | Bes. | Resource group |
| Erteilen von Berechtigungen für: – Erstellen/Verwalten von Laborplänen, Laboren und anderen Ressourcen innerhalb der Ressourcengruppe. – Aktivieren oder Deaktivieren von Azure Marketplace und benutzerdefinierten Bildern in einem Laborplan. Jedoch nicht die Möglichkeit, anderen Benutzern Rollen zuzuweisen. |
Administrator | Mitwirkender | Resource group |
| Erteilen Sie die Berechtigung zum Erstellen oder Verwalten Ihrer eigenen Labore für alle Laborpläne innerhalb einer Ressourcengruppe. | Laborverwaltung | Lab-Ersteller | Resource group |
| Erteilen Sie die Berechtigung zum Erstellen oder Verwalten Ihrer eigenen Labore für einen bestimmten Laborplan. | Laborverwaltung | Lab-Ersteller | Lab-Plan |
| Erteilen Sie die Berechtigung zum gemeinsamen Verwalten eines Labors, aber nicht die Möglichkeit, Labore zu erstellen. | Laborverwaltung | Lab-Mitwirkender | Labor |
| Erteilen Sie die Berechtigung, nur VMs für start/stop/reimage-VMs für alle Labore innerhalb einer Ressourcengruppe zu erteilen. | Laborverwaltung | Lab-Assistent | Resource group |
| Erteilen Sie die Berechtigung, nur VMs für ein bestimmtes Labor zu starten/stop/reimage-VMs zu starten/beenden/neu zu abbilden. | Laborverwaltung | Lab-Assistent | Labor |
Wichtig
Das Abonnement einer Organisation wird verwendet, um Abrechnung und Sicherheit für alle Azure-Ressourcen und -Dienste zu verwalten. Sie können die Rolle "Besitzer" oder "Mitwirkender" für das Abonnement zuweisen. In der Regel haben nur Administratoren Zugriff auf Abonnementebene, da dies den vollzugriff auf alle Ressourcen im Abonnement umfasst.
Administratorrollen
Um Benutzern die Berechtigung zum Verwalten von Azure Lab Services innerhalb des Abonnements Ihrer Organisation zu erteilen, sollten Sie ihnen die Rolle "Besitzer", "Mitwirkender" oder "Lab Services-Mitwirkender" zuweisen.
Weisen Sie diese Rollen der Ressourcengruppe zu. Die Laborpläne und Labore innerhalb der Ressourcengruppe erben diese Rollenzuweisungen.
In der folgenden Tabelle werden die verschiedenen Administratorrollen verglichen, wenn sie der Ressourcengruppe zugewiesen sind.
| Übungsplan/Übung | Aktivität | Besitzer | Mitwirkender | Mitwirkender für Lab Services |
|---|---|---|---|---|
| Lab-Plan | Anzeigen aller Laborpläne innerhalb der Ressourcengruppe | Ja | Ja | Ja |
| Lab-Plan | Erstellen, Ändern oder Löschen aller Laborpläne innerhalb der Ressourcengruppe | Ja | Ja | Ja |
| Lab-Plan | Zuweisen von Rollen zu Lab-Plänen innerhalb der Ressourcengruppe | Ja | Nein | Nein |
| Labor | Erstellen von Labs innerhalb der Ressourcengruppe** | Ja | Ja | Ja |
| Labor | Anzeigen der Labore anderer Benutzer innerhalb der Ressourcengruppe | Ja | Ja | Ja |
| Labor | Ändern oder Löschen der Labore anderer Benutzer innerhalb der Ressourcengruppe | Ja | Ja | Nein |
| Labor | Zuweisen von Rollen zu den Labs anderer Benutzer innerhalb der Ressourcengruppe | Ja | Nein | Nein |
** Benutzern wird automatisch die Berechtigung zum Anzeigen, Ändern von Einstellungen, Löschen und Zuweisen von Rollen für die von ihnen erstellten Labore erteilt.
Rolle „Besitzer“
Weisen Sie die Rolle "Besitzer" zu, um einem Benutzer vollzugriff zum Erstellen oder Verwalten von Laborplänen und Laboren zu gewähren und anderen Benutzern Berechtigungen zu erteilen. Wenn ein Benutzer über die Rolle "Besitzer" in der Ressourcengruppe verfügt, kann er die folgenden Aktivitäten für alle Ressourcen innerhalb der Ressourcengruppe ausführen:
- Weisen Sie Administratoren Rollen zu, damit sie labbezogene Ressourcen verwalten können.
- Weisen Sie Labormanagern Rollen zu, damit sie Labore erstellen und verwalten können.
- Erstellen Sie Laborpläne und Labore.
- Anzeigen, Löschen und Ändern von Einstellungen für alle Laborpläne, einschließlich Anfügen oder Trennen des Computekatalogs und Aktivieren oder Deaktivieren von Azure Marketplace und benutzerdefinierten Bildern in Lab-Plänen.
- Anzeigen, Löschen und Ändern von Einstellungen für alle Labore.
Achtung
Wenn Sie der Ressourcengruppe die Rolle "Besitzer" oder "Mitwirkender" zuweisen, gelten diese Berechtigungen auch für nicht labbezogene Ressourcen, die in der Ressourcengruppe vorhanden sind. Beispielsweise Ressourcen wie virtuelle Netzwerke, Speicherkonten, Computekataloge und vieles mehr.
Rolle des Mitwirkenden
Weisen Sie die Rolle "Mitwirkender" zu, um einem Benutzer die vollständige Kontrolle zum Erstellen oder Verwalten von Laborplänen und Laboren innerhalb einer Ressourcengruppe zu gewähren. Die Rolle "Mitwirkender" hat die gleichen Berechtigungen wie die Rolle "Besitzer", mit Ausnahme von:
- Ausführen von Rollenzuweisungen
Rolle "Lab Services-Mitwirkender"
Der Lab Services-Mitwirkende ist die restriktivste der Administratorrollen. Weisen Sie die Rolle "Lab Services-Mitwirkender" zu, um die gleichen Aktivitäten wie die Rolle "Besitzer" zu aktivieren, mit Ausnahme von:
- Ausführen von Rollenzuweisungen
- Ändern oder Löschen der Labore anderer Benutzer
Hinweis
Die Rolle "Lab Services-Mitwirkender" lässt keine Änderungen an Ressourcen zu, die sich nicht auf Azure Lab Services bezieht. Andererseits ermöglicht die Rolle "Mitwirkender" Änderungen an allen Azure-Ressourcen innerhalb der Ressourcengruppe.
Laborverwaltungsrollen
Verwenden Sie die folgenden Rollen, um Benutzern Berechtigungen zum Erstellen und Verwalten von Laboren zu erteilen:
- Lab-Ersteller
- Lab-Mitwirkender
- Lab-Assistent
- Lab Services Reader
Diese Laborverwaltungsrollen erteilen nur die Berechtigung zum Anzeigen von Lab-Plänen. Diese Rollen lassen das Erstellen, Ändern, Löschen oder Zuweisen von Rollen zu Lab-Plänen nicht zu. Darüber hinaus können Benutzer mit diesen Rollen keinen Computekatalog anfügen oder trennen und virtuelle Computerimages aktivieren oder deaktivieren.
Lab Creator-Rolle
Weisen Sie die Rolle "Lab Creator" zu, um einem Benutzer die Berechtigung zum Erstellen von Laboren zu erteilen und vollzugriff auf die von ihnen erstellten Labore zu haben. Beispielsweise können sie die Einstellungen ihrer Labore ändern, ihre Labore löschen und sogar anderen Benutzern die Berechtigung erteilen.
Weisen Sie die Lab Creator-Rolle entweder für die Ressourcengruppe oder den Lab-Plan zu.
In der folgenden Tabelle wird die Rollenzuweisung "Lab Creator" für die Ressourcengruppe oder den Laborplan verglichen.
| Aktivität | Resource group | Lab-Plan |
|---|---|---|
| Erstellen von Labs innerhalb der Ressourcengruppe** | Ja | Ja |
| Anzeigen von Labs, die sie erstellt haben | Ja | Ja |
| Anzeigen der Labore anderer Benutzer innerhalb der Ressourcengruppe | Ja | Nein |
| Ändern oder Löschen von Laboren, die der Benutzer erstellt hat | Ja | Ja |
| Ändern oder Löschen der Labore anderer Benutzer innerhalb der Ressourcengruppe | Nein | Nein |
| Zuweisen von Rollen zu den Labs anderer Benutzer innerhalb der Ressourcengruppe | Nein | Nein |
** Benutzern wird automatisch die Berechtigung zum Anzeigen, Ändern von Einstellungen, Löschen und Zuweisen von Rollen für die von ihnen erstellten Labore erteilt.
Rolle "Lab-Mitwirkender"
Weisen Sie die Rolle "Lab-Mitwirkender" zu, um einem Benutzer die Berechtigung zum Verwalten eines vorhandenen Labors zu erteilen.
Weisen Sie die Rolle "Lab-Mitwirkender" im Lab zu.
Wenn Sie die Rolle "Lab-Mitwirkender" im Labor zuweisen, kann der Benutzer das zugewiesene Labor verwalten. Insbesondere der Benutzer:
- Kann alle Einstellungen anzeigen, ändern oder das zugewiesene Labor löschen.
- Der Benutzer kann die Labore anderer Benutzer nicht anzeigen.
- Neue Labore können nicht erstellt werden.
Rolle "Übungs-Assistent"
Weisen Sie die Rolle "Labor-Assistent" zu, um einem Benutzer die Berechtigung zum Anzeigen eines Labors zu erteilen, und starten, beenden und aktualisieren Sie virtuelle Computer für das Labor.
Weisen Sie der Ressourcengruppe oder dem Labor die Rolle des Lab-Assistenten zu.
Wenn Sie der Ressourcengruppe die Rolle "Lab Assistant" zuweisen, lautet der Benutzer:
- Kann alle Labore innerhalb der Ressourcengruppe anzeigen und virtuelle Computer für jedes Labor starten, beenden oder neu abbilden.
- Andere Änderungen an den Laboren können nicht gelöscht oder vorgenommen werden.
Wenn Sie der Lab-Assistent-Rolle im Labor zuweisen, kann der Benutzer:
- Kann das zugewiesene Labor anzeigen und virtuelle Computer starten, beenden oder neu abbilden.
- Es können keine anderen Änderungen am Labor gelöscht oder vorgenommen werden.
- Neue Labore können nicht erstellt werden.
Wenn Sie über die Rolle "Labor-Assistent" verfügen, um andere Labore anzuzeigen, denen Sie Zugriff gewährt haben, stellen Sie sicher, dass Sie den Filter "Alle Labore " auf der Azure Lab Services-Website auswählen.
Rolle "Lab Services Reader"
Weisen Sie die Rolle "Lab Services Reader" zu, um vorhandenen Laboren eine Benutzerberechtigungsansicht zu erteilen. Der Benutzer kann keine Änderungen an vorhandenen Laboren vornehmen.
Weisen Sie der Ressourcengruppe oder dem Labor die Rolle "Lab Services Reader" zu.
Wenn Sie der Ressourcengruppe die Rolle "Lab Services Reader" zuweisen, kann der Benutzer:
- Zeigen Sie alle Labore innerhalb der Ressourcengruppe an.
Wenn Sie der Lab Services Reader-Rolle im Lab zuweisen, kann der Benutzer:
- Zeigen Sie nur das spezifische Labor an.
Identitäts- und Zugriffsverwaltung (IAM)
Die Zugriffssteuerungsseite (IAM) im Azure-Portal wird verwendet, um die rollenbasierte Zugriffssteuerung für Azure Lab Services-Ressourcen zu konfigurieren. Sie können integrierte Rollen für Einzelpersonen und Gruppen in Active Directory verwenden. Der folgende Screenshot zeigt die Active Directory-Integration (Azure RBAC) mithilfe der Zugriffssteuerung (IAM) im Azure-Portal:
Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
Ressourcengruppen- und Laborplanstruktur
Ihre Organisation sollte zeitaufwärts investieren, um die Struktur von Ressourcengruppen und Laborplänen zu planen. Dies ist besonders wichtig, wenn Sie der Ressourcengruppe Rollen zuweisen, da sie auch Berechtigungen auf alle Ressourcen in der Ressourcengruppe anwendet.
So stellen Sie sicher, dass Benutzern nur berechtigungen für die entsprechenden Ressourcen erteilt werden:
Erstellen Sie Ressourcengruppen, die nur labbezogene Ressourcen enthalten.
Organisieren Sie Laborpläne und Labore entsprechend den Benutzern, die Zugriff haben sollten, in separate Ressourcengruppen.
Sie können beispielsweise separate Ressourcengruppen für verschiedene Abteilungen erstellen, um die Laborressourcen jeder Abteilung zu isolieren. Lab Creators in einer Abteilung können dann Berechtigungen für die Ressourcengruppe erhalten, die ihnen nur Zugriff auf die Laborressourcen ihrer Abteilung gewährt.
Wichtig
Planen Sie die Ressourcengruppe und die Laborplanstruktur vorab, da es nicht möglich ist, Laborpläne oder Labore nach der Erstellung in eine andere Ressourcengruppe zu verschieben.
Zugriff auf mehrere Ressourcengruppen
Sie können Benutzern Zugriff auf mehrere Ressourcengruppen gewähren. Auf der Azure Lab Services-Website kann der Benutzer dann aus der Liste der Ressourcengruppen auswählen, um seine Labore anzuzeigen.
Zugriff auf mehrere Laborpläne
Sie können Benutzern Zugriff auf mehrere Laborpläne gewähren. Beispiel: Wenn Sie einem Benutzer in einer Ressourcengruppe, die mehrere Laborpläne enthält, die die Rolle "Lab Creator" zuweisen. Der Benutzer kann dann bei der Erstellung eines neuen Labors aus der Liste der Lab-Pläne auswählen.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für