Azure DevTest Labs でラボ所有者、共同作成者、ユーザーを追加する

  • [アーティクル]

Azure DevTest Labs では、Azure ロールベースのアクセス制御 (Azure RBAC) を使って、特定のラボ タスクの実行に必要なアクセス権のみを持つロールを定義します。 DevTest Labs には、"所有者"、"共同作成者"、"DevTest Labs ユーザー" という 3 つ組み込みロールがあります。 この記事では、各ロールで実行できるタスクと、Azure portal または Azure PowerShell スクリプトを使ってラボ ロールにメンバーを追加する方法について説明します。

各ロールで実行できるアクション

ラボ所有者、共同作成者、DevTest Labs ユーザーの各ロールは、DevTest Labs で次のアクションを実行できます。

所有者

ラボ所有者ロールは、次のすべてのアクションを実行できます。

ラボ タスク:

  • ラボへのユーザーの追加。
  • コスト設定の更新。

仮想マシン (VM) の基本タスク:

  • カスタム イメージの追加と削除。
  • 数式の追加、更新、削除。
  • Azure Marketplace イメージの有効化。

VM タスク:

  • VM の作成。
  • VM の起動、停止、または削除。
  • VM ポリシーの更新。
  • VM データ ディスクの追加または削除。

アーティファクト タスク:

  • アーティファクト リポジトリの追加と削除。
  • アーティファクトの VM への適用。

Contributor

ラボ共同作成者ロールは、ラボにユーザーを追加できないことを除き、ラボ所有者と同じすべてのアクションを実行できます。

DevTest Labs User

DevTest Labs ユーザー ロールは、DevTest Labs で次の操作を実行できます。

  • VM の基本数式の追加、更新、削除。
  • VM の作成。
  • ユーザーが作成した VM の起動、停止、削除。
  • ユーザーが作成した VM データ ディスクの追加または削除。
  • アーティファクトの VM への適用。

Note

Lab ユーザーは、自分が作成した VM に対して自動的に所有者ロールが割り当てられます。

所有者、共同作成者、または DevTest Labs ユーザーの追加

ラボ所有者は、Azure portal または Azure PowerShell スクリプトを使ってラボ ロールにメンバーを追加することができます。 追加するユーザーは、有効な Microsoft アカウント (MSA) を持つ外部ユーザーにすることもできます。

Azure のアクセス許可は、親スコープから子スコープに伝達されます。 ラボを含む Azure サブスクリプション所有者は、自動的にサブスクリプションの DevTest Labs サービス、ラボ、ラボの VM とリソースの所有者になります。 サブスクリプション所有者は、サブスクリプション内のラボに所有者、共同作成者、DevTest Labs ユーザーを追加できます。

Note

追加されたラボ所有者の管理スコープは、サブスクリプション所有者のスコープよりも狭くなります。 追加された所有者は、DevTest Labs サービスが作成する一部のリソースへのフル アクセス権を持ちません。

前提条件

ラボにメンバーを追加するには、次のことを行う必要があります。

Azure portal を使ってラボ メンバーを追加する

メンバーを追加するには:

  • サブスクリプション レベルで、サブスクリプション ページを開きます。
  • ラボ レベルで、ラボを持つリソース グループを開き、リソースの一覧からラボを選びます。

  1. サブスクリプションまたはラボの左側のナビゲーションで、[アクセス制御 (IAM)] を選びます。

  2. [追加]>[ロール割り当ての追加] の順に選択します。

    Screenshot that shows an access control (IAM) page with the Add role assignment menu open.

  3. [ロール割り当ての追加] ページで、[所有者][共同作成者]、または [DevTest Labs ユーザー] ロールを選び、[次へ] を選びます。

    Screenshot that shows the Add role assignment page with the Role tab selected.

  4. [メンバー] タブで、[メンバーの選択] を選びます。

  5. [メンバーの選択] 画面で追加するメンバーを選び、[選択] を選びます。

  6. [レビュー + 割り当て] を選び、詳細を確認した後、もう一度 [レビュー + 割り当て] を選びます。

Azure PowerShell を使って DevTest Labs ユーザーをラボに追加する

Note

Azure を操作するには、Azure Az PowerShell モジュールを使用することをお勧めします。 作業を開始するには、Azure PowerShell のインストールに関する記事を参照してください。 Az PowerShell モジュールに移行する方法については、「AzureRM から Az への Azure PowerShell の移行」を参照してください。

次の Azure PowerShell スクリプトを使って、DevTest Labs ユーザーをラボに追加することができます。 このスクリプトでは、ユーザーが Microsoft Entra ID である必要があります。 外部ユーザーをゲストとして Microsoft Entra ID に追加する方法については、「新しいゲスト ユーザーの追加」を参照してください。 ユーザーが Microsoft Entra ID に存在しない場合は、代わりにポータルの手順を使ってください。

次のスクリプトで、# Values to change コメントの下にあるパラメーター値を更新します。 subscriptionIdlabResourceGrouplabName の値は、Azure portal のラボのメイン ページから取得できます。

# Add an external user to a lab user role in DevTest Labs.
# Make sure the guest user is added to Azure AD.

# Values to change
$subscriptionId = "<Azure subscription ID>"
$labResourceGroup = "<Lab's resource group name>"
$labName = "<Lab name>"
$userDisplayName = "<User's display name>"

# Log into your Azure account.
Connect-AzAccount

# Select the Azure subscription that contains the lab. This step is optional if you have only one subscription.
Select-AzSubscription -SubscriptionId $subscriptionId

# Get the user object.
$adObject = Get-AzADUser -SearchString $userDisplayName

# Create the role assignment. 
$labId = ('subscriptions/' + $subscriptionId + '/resourceGroups/' + $labResourceGroup + '/providers/Microsoft.DevTestLab/labs/' + $labName)
New-AzRoleAssignment -ObjectId $adObject.Id -RoleDefinitionName 'DevTest Labs User' -Scope $labId

次のステップ