Condividi tramite


Controllo degli accessi in base al ruolo di Azure in Azure Lab Services

Azure Lab Services offre il controllo degli accessi in base al ruolo di Azure predefinito per scenari di gestione comuni in Azure Lab Services. Un utente che ha un profilo in Microsoft Entra ID può assegnare questi ruoli di Azure a utenti, gruppi, entità servizio o identità gestite per concedere o negare l'accesso alle risorse e alle operazioni sulle risorse di Azure Lab Services. Questo articolo descrive i diversi ruoli predefiniti supportati da Azure Lab Services.

Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager che offre una gestione degli accessi granulare delle risorse di Azure.

Controllo degli accessi in base al ruolo di Azure specifica le definizioni di ruolo predefinite che delineano le autorizzazioni da applicare. È possibile assegnare un utente o un gruppo a questa definizione di ruolo tramite un'assegnazione di ruolo per un determinato ambito. L'ambito può essere una singola risorsa, un gruppo di risorse o una sottoscrizione. Nella sezione successiva vengono illustrati i ruoli predefiniti supportati da Azure Lab Services.

Per altre informazioni, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?

Nota

Quando si apportano modifiche all'assegnazione di ruolo, la propagazione di questi aggiornamenti può richiedere alcuni minuti.

Ruoli predefiniti

In questo articolo i ruoli predefiniti di Azure vengono raggruppati logicamente in due tipi di ruolo, in base all'ambito di influenza:

  • ruoli Amministrazione istrator: influenzare le autorizzazioni per i piani e i lab del lab
  • Ruoli di gestione del lab: influenzare le autorizzazioni per i lab

Di seguito sono riportati i ruoli predefiniti supportati da Azure Lab Services:

Tipo di ruolo Ruolo predefinito Descrizione
Amministratore Proprietario Concedere il controllo completo per creare/gestire lab e piani lab e concedere autorizzazioni ad altri utenti. Altre informazioni sul ruolo Proprietario.
Amministratore Collaboratore Concedere il controllo completo per creare/gestire lab e piani di lab, ad eccezione dell'assegnazione di ruoli ad altri utenti. Altre informazioni sul ruolo Collaboratore.
Amministratore Collaboratore di Lab Services Concedere le stesse autorizzazioni del ruolo Proprietario, ad eccezione dell'assegnazione dei ruoli. Altre informazioni sul ruolo Collaboratore Lab Services.
Gestione del lab Lab Creator (Creatore di lab) Concedere l'autorizzazione per creare lab e avere il controllo completo sui lab creati. Altre informazioni sul ruolo Autore lab.
Gestione del lab Collaboratore lab Concedere l'autorizzazione per gestire un lab esistente, ma non creare nuovi lab. Altre informazioni sul ruolo Collaboratore lab.
Gestione del lab Assistente lab Concedere l'autorizzazione per visualizzare un lab esistente. Può anche avviare, arrestare o riprodurre l'immagine di qualsiasi macchina virtuale nel lab. Altre informazioni sul ruolo Assistente lab.
Gestione del lab Lettore di Lab Services Concedere l'autorizzazione per visualizzare i lab esistenti. Altre informazioni sul ruolo lettore di Lab Services.

Ambito dell'assegnazione di ruolo

In Controllo degli accessi in base al ruolo di Azure l'ambito è il set di risorse a cui si applica l'accesso. Quando si assegna un ruolo, è importante comprendere l'ambito in modo da concedere solo l'accesso necessario.

In Azure è possibile specificare un ambito su quattro livelli: gruppo di gestione, sottoscrizione, gruppo di risorse e risorsa. Gli ambiti sono strutturati in una relazione padre-figlio. Ogni livello di gerarchia rende più specifico l'ambito. È possibile assegnare ruoli su uno qualsiasi di questi livelli di ambito. Il livello selezionato determina la portata dell'applicazione del ruolo. I livelli inferiori ereditano le autorizzazioni del ruolo da quelli superiori. Altre informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure.

Per Azure Lab Services, prendere in considerazione gli ambiti seguenti:

Ambito Descrizione
Subscription Usato per gestire la fatturazione e la sicurezza per tutte le risorse e i servizi di Azure. In genere, solo gli amministratori hanno accesso a livello di sottoscrizione perché questa assegnazione di ruolo concede l'accesso a tutte le risorse nella sottoscrizione.
Gruppo di risorse Contenitore logico per raggruppare le risorse. L'assegnazione di ruolo per il gruppo di risorse concede l'autorizzazione al gruppo di risorse e a tutte le risorse al suo interno, ad esempio lab e piani lab.
Piano lab Una risorsa di Azure usata per applicare le impostazioni di configurazione comuni quando si crea un lab. L'assegnazione di ruolo per il piano lab concede l'autorizzazione solo a un piano lab specifico.
Lab Una risorsa di Azure usata per applicare le impostazioni di configurazione comuni per la creazione e l'esecuzione di macchine virtuali lab. L'assegnazione di ruolo per il lab concede l'autorizzazione solo a un lab specifico.

Diagram that shows the role assignment scopes for Azure Lab Services.

Importante

In Azure Lab Services i piani di lab e i lab sono risorse di pari livello tra loro. Di conseguenza, i lab non ereditano alcuna assegnazione di ruoli dal piano del lab. Tuttavia, le assegnazioni di ruolo del gruppo di risorse vengono ereditate dai piani lab e dai lab in tale gruppo di risorse.

Ruoli per attività lab comuni

La tabella seguente illustra le attività comuni del lab e il ruolo necessario per consentire a un utente di eseguire tale attività.

Attività Tipo di ruolo Ruolo Ambito
Concedere l'autorizzazione per creare un gruppo di risorse. Un gruppo di risorse è un contenitore logico in Azure per contenere i piani e i lab del lab. Prima di poter creare un piano o un lab del lab, questo gruppo di risorse deve esistere. Amministratore Proprietario o Collaboratore Subscription
Concedere l'autorizzazione per inviare un ticket di supporto Microsoft, inclusa la capacità richiesta. Amministratore Proprietario, Collaboratore, Collaboratore richiesta di supporto Subscription
Concedere l'autorizzazione a:
- Assegnare ruoli ad altri utenti.
- Creare/gestire piani di lab, lab e altre risorse all'interno del gruppo di risorse.
- Abilitare/disabilitare il marketplace e le immagini personalizzate in un piano lab.
- Collegare/scollegare la raccolta di calcolo in un piano lab.
Amministratore Proprietario Gruppo di risorse
Concedere l'autorizzazione a:
- Creare/gestire piani di lab, lab e altre risorse all'interno del gruppo di risorse.
- Abilitare o disabilitare Azure Marketplace e immagini personalizzate in un piano lab.

Tuttavia, non è possibile assegnare ruoli ad altri utenti.
Amministratore Collaboratore Gruppo di risorse
Concedere l'autorizzazione per creare o gestire lab personalizzati per tutti i piani lab all'interno di un gruppo di risorse. Gestione del lab Lab Creator (Creatore di lab) Gruppo di risorse
Concedere l'autorizzazione per creare o gestire lab personalizzati per un piano lab specifico. Gestione del lab Lab Creator (Creatore di lab) Piano lab
Concedere l'autorizzazione per la co-gestione di un lab, ma non la possibilità di creare lab. Gestione del lab Collaboratore lab Lab
Concedere l'autorizzazione solo alle macchine virtuali di avvio/arresto/ricreazione dell'immagine per tutti i lab all'interno di un gruppo di risorse. Gestione del lab Assistente lab Gruppo di risorse
Concedere l'autorizzazione solo alle macchine virtuali di avvio/arresto/ricreazione dell'immagine per un lab specifico. Gestione del lab Assistente lab Lab

Importante

La sottoscrizione di un'organizzazione viene usata per gestire la fatturazione e la sicurezza per tutte le risorse e i servizi di Azure. È possibile assegnare il ruolo Proprietario o Collaboratore nella sottoscrizione. In genere, solo gli amministratori hanno accesso a livello di sottoscrizione perché include l'accesso completo a tutte le risorse nella sottoscrizione.

Ruoli di amministratore

Per concedere agli utenti l'autorizzazione per gestire Azure Lab Services all'interno della sottoscrizione dell'organizzazione, è necessario assegnargli il ruolo Proprietario, Collaboratore o Collaboratore Lab Services.

Assegnare questi ruoli al gruppo di risorse. I piani e i lab del lab all'interno del gruppo di risorse ereditano queste assegnazioni di ruolo.

Diagram that shows the resource hierarchy and the three administrator roles, assigned to the resource group.

La tabella seguente confronta i diversi ruoli di amministratore quando vengono assegnati nel gruppo di risorse.

Piano lab/Lab Attività Proprietario Collaboratore Collaboratore di Lab Services
Piano lab Visualizzare tutti i piani lab all'interno del gruppo di risorse
Piano lab Creare, modificare o eliminare tutti i piani lab all'interno del gruppo di risorse
Piano lab Assegnare ruoli ai piani lab all'interno del gruppo di risorse No No
Lab Creare lab all'interno del gruppo di risorse**
Lab Visualizzare i lab di altri utenti all'interno del gruppo di risorse
Lab Modificare o eliminare i lab di altri utenti all'interno del gruppo di risorse No
Lab Assegnare ruoli ai lab di altri utenti all'interno del gruppo di risorse No No

** Agli utenti viene concessa automaticamente l'autorizzazione per visualizzare, modificare le impostazioni, eliminare e assegnare ruoli per i lab creati.

Ruolo di proprietario

Assegnare il ruolo Proprietario per concedere a un utente il controllo completo per creare o gestire i piani e i lab del lab e concedere autorizzazioni ad altri utenti. Quando un utente ha il ruolo Proprietario nel gruppo di risorse, può eseguire le attività seguenti in tutte le risorse all'interno del gruppo di risorse:

  • Assegnare ruoli agli amministratori, in modo da poter gestire le risorse correlate al lab.
  • Assegnare ruoli ai responsabili del lab, in modo da poter creare e gestire lab.
  • Creare piani e lab del lab.
  • Visualizzare, eliminare e modificare le impostazioni per tutti i piani lab, tra cui collegamento o scollegamento della raccolta di calcolo e abilitazione o disabilitazione di Azure Marketplace e immagini personalizzate nei piani lab.
  • Visualizzare, eliminare e modificare le impostazioni per tutti i lab.

Attenzione

Quando si assegna il ruolo Proprietario o Collaboratore nel gruppo di risorse, queste autorizzazioni si applicano anche alle risorse non correlate al lab presenti nel gruppo di risorse. Ad esempio, risorse come reti virtuali, account di archiviazione, raccolte di calcolo e altro ancora.

Ruolo Collaboratore

Assegnare il ruolo Collaboratore per concedere a un utente il controllo completo per creare o gestire piani e lab del lab all'interno di un gruppo di risorse. Il ruolo Collaboratore ha le stesse autorizzazioni del ruolo Proprietario, ad eccezione di:

  • Esecuzione di assegnazioni di ruolo

Ruolo Collaboratore Lab Services

Il collaboratore di Lab Services è il più restrittivo dei ruoli di amministratore. Assegnare il ruolo Collaboratore Lab Services per abilitare le stesse attività del ruolo Proprietario, ad eccezione di:

  • Esecuzione di assegnazioni di ruolo
  • Modifica o eliminazione di altri lab degli utenti

Nota

Il ruolo Collaboratore Lab Services non consente modifiche alle risorse non correlate ad Azure Lab Services. D'altra parte, il ruolo Collaboratore consente di modificare tutte le risorse di Azure all'interno del gruppo di risorse.

Ruoli di gestione del lab

Usare i ruoli seguenti per concedere agli utenti le autorizzazioni per creare e gestire lab:

  • Lab Creator (Creatore di lab)
  • Collaboratore lab
  • Assistente lab
  • Lettore di Lab Services

Questi ruoli di gestione del lab concedono solo l'autorizzazione per visualizzare i piani del lab. Questi ruoli non consentono la creazione, la modifica, l'eliminazione o l'assegnazione di ruoli ai piani lab. Inoltre, gli utenti con questi ruoli non possono collegare o scollegare una raccolta di calcolo e abilitare o disabilitare le immagini delle macchine virtuali.

Ruolo autore del lab

Assegnare il ruolo Lab Creator per concedere a un utente l'autorizzazione per creare lab e avere il controllo completo sui lab creati. Ad esempio, possono modificare le impostazioni dei lab, eliminare i lab e persino concedere ad altri utenti l'autorizzazione ai lab.

Assegnare il ruolo Autore lab nel gruppo di risorse o nel piano lab.

Diagram that shows the resource hierarchy and the Lab Creator role, assigned to the resource group and lab plan.

La tabella seguente confronta l'assegnazione di ruolo Lab Creator per il gruppo di risorse o il piano lab.

Attività Gruppo di risorse Piano lab
Creare lab all'interno del gruppo di risorse**
Visualizzare i lab creati
Visualizzare i lab di altri utenti all'interno del gruppo di risorse No
Modificare o eliminare lab creati dall'utente
Modificare o eliminare i lab di altri utenti all'interno del gruppo di risorse No No
Assegnare ruoli ai lab di altri utenti all'interno del gruppo di risorse No No

** Agli utenti viene concessa automaticamente l'autorizzazione per visualizzare, modificare le impostazioni, eliminare e assegnare ruoli per i lab creati.

Ruolo Collaboratore lab

Assegnare il ruolo Collaboratore lab per concedere a un utente l'autorizzazione per gestire un lab esistente.

Assegnare il ruolo Collaboratore lab nel lab.

Diagram that shows the resource hierarchy and the Lab Contributor role, assigned to the lab.

Quando si assegna il ruolo Collaboratore lab nel lab, l'utente può gestire il lab assegnato. In particolare, l'utente:

  • Può visualizzare, modificare tutte le impostazioni o eliminare il lab assegnato.
  • L'utente non può visualizzare altri lab degli utenti.
  • Non è possibile creare nuovi lab.

Ruolo Assistente lab

Assegnare il ruolo Assistente lab per concedere a un utente l'autorizzazione per visualizzare un lab e avviare, arrestare e ricreare l'immagine delle macchine virtuali del lab per il lab.

Assegnare il ruolo Assistente lab nel gruppo di risorse o nel lab.

Diagram that shows the resource hierarchy and the Lab Assistant role, assigned to the resource group and lab.

Quando si assegna il ruolo Assistente lab nel gruppo di risorse, l'utente:

  • Può visualizzare tutti i lab all'interno del gruppo di risorse e avviare, arrestare o creare di nuovo l'immagine delle macchine virtuali del lab per ogni lab.
  • Non è possibile eliminare o apportare altre modifiche ai lab.

Quando si assegna il ruolo Assistente lab nel lab, l'utente:

  • Può visualizzare il lab assegnato e avviare, arrestare o riprodurre l'immagine delle macchine virtuali del lab.
  • Non è possibile eliminare o apportare altre modifiche al lab.
  • Non è possibile creare nuovi lab.

Quando si ha il ruolo Assistente lab, per visualizzare altri lab a cui si ha accesso, assicurarsi di scegliere il filtro Tutti i lab nel sito Web di Azure Lab Services.

Ruolo lettore di Lab Services

Assegnare il ruolo Lettore di Lab Services per concedere una visualizzazione delle autorizzazioni utente ai lab esistenti. L'utente non può apportare modifiche ai lab esistenti.

Assegnare il ruolo Lettore di Lab Services nel gruppo di risorse o nel lab.

Diagram that shows the resource hierarchy and the Lab Services Reader role, assigned to the resource group and lab.

Quando si assegna il ruolo lettore Lab Services nel gruppo di risorse, l'utente può:

  • Visualizzare tutti i lab all'interno del gruppo di risorse.

Quando si assegna il ruolo lettore Lab Services nel lab, l'utente può:

  • Visualizzare solo il lab specifico.

Gestione delle identità e degli accessi (IAM)

La pagina Controllo di accesso (IAM) nella portale di Azure viene usata per configurare il controllo degli accessi in base al ruolo di Azure nelle risorse di Azure Lab Services. È possibile usare i ruoli predefiniti per utenti singoli e gruppi in Active Directory. Lo screenshot seguente mostra l'integrazione di Active Directory (Controllo degli accessi in base al ruolo di Azure) usando il controllo di accesso (IAM) nel portale di Azure:

Screenshot that shows the Access Control page in the Azure portal to manage role assignments.

Per la procedura dettagliata, vedere Assegnare ruoli di Azure usando il portale di Azure.

Gruppo di risorse e struttura del piano lab

L'organizzazione deve investire tempo prima per pianificare la struttura dei gruppi di risorse e dei piani lab. Ciò è particolarmente importante quando si assegnano ruoli nel gruppo di risorse perché applica anche le autorizzazioni a tutte le risorse nel gruppo di risorse.

Per assicurarsi che agli utenti venga concessa solo l'autorizzazione per le risorse appropriate:

  • Creare gruppi di risorse che contengono solo risorse correlate al lab.

  • Organizzare i piani e i lab del lab in gruppi di risorse separati in base agli utenti che devono avere accesso.

Ad esempio, è possibile creare gruppi di risorse separati per reparti diversi per isolare le risorse lab di ogni reparto. Ai creatori di lab in un reparto possono quindi essere concesse le autorizzazioni per il gruppo di risorse, che concede loro solo l'accesso alle risorse lab del reparto.

Importante

Pianificare il gruppo di risorse e la struttura del piano lab in anticipo perché non è possibile spostare i piani o i lab in un gruppo di risorse diverso dopo la creazione.

Accesso a più gruppi di risorse

È possibile concedere agli utenti l'accesso a più gruppi di risorse. Nel sito Web di Azure Lab Services l'utente può quindi scegliere tra l'elenco dei gruppi di risorse per visualizzare i lab.

Screenshot that shows how to choose between resource groups in the Azure Lab Services website.

Accesso a più piani lab

È possibile concedere agli utenti l'accesso a più piani di lab. Ad esempio, quando si assegna il ruolo Autore lab a un utente in un gruppo di risorse che contiene più di un piano lab. L'utente può quindi scegliere dall'elenco dei piani lab durante la creazione di un nuovo lab.

Screenshot that shows how to choose between lab plans when creating a lab in the Azure Lab Services website.

Passaggi successivi