Dela via


Rollbaserad åtkomstkontroll i Azure Lab Services

Viktigt!

Azure Lab Services dras tillbaka den 28 juni 2027. Mer information finns i pensionsguiden.

Azure Lab Services tillhandahåller inbyggd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för vanliga hanteringsscenarier i Azure Lab Services. En person som har en profil i Microsoft Entra-ID kan tilldela dessa Azure-roller till användare, grupper, tjänstens huvudnamn eller hanterade identiteter för att bevilja eller neka åtkomst till resurser och åtgärder på Azure Lab Services-resurser. Den här artikeln beskriver de olika inbyggda roller som Azure Lab Services stöder.

Rollbaserad åtkomstkontroll i Azure (RBAC) är ett auktoriseringssystem som bygger på Azure Resource Manager och som ger detaljerad åtkomsthantering av Azure-resurser.

Azure RBAC anger inbyggda rolldefinitioner som beskriver de behörigheter som ska tillämpas. Du tilldelar en användare eller grupp den här rolldefinitionen via en rolltilldelning för ett visst omfång. Omfånget kan vara en enskild resurs, en resursgrupp eller i hela prenumerationen. I nästa avsnitt får du lära dig vilka inbyggda roller Azure Lab Services stöder.

Mer information finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?

Kommentar

När du gör ändringar i rolltilldelningen kan det ta några minuter innan uppdateringarna sprids.

Inbyggda roller

I den här artikeln är de inbyggda Azure-rollerna logiskt grupperade i två rolltyper, baserat på deras påverkansområde:

  • Administratörsroller: påverka behörigheter för labbplaner och labb
  • Labbhanteringsroller: påverka behörigheter för labb

Följande är de inbyggda roller som stöds av Azure Lab Services:

Rolltyp Inbyggd roll beskrivning
Administratör Ägare Ge fullständig kontroll för att skapa/hantera labbplaner och labb och bevilja behörigheter till andra användare. Läs mer om rollen Ägare.
Administratör Deltagare Ge fullständig kontroll för att skapa/hantera labbplaner och labb, förutom att tilldela roller till andra användare. Läs mer om deltagarrollen.
Administratör Lab Services-deltagare Bevilja samma behörigheter som rollen Ägare, förutom att tilldela roller. Läs mer om rollen Lab Services-deltagare.
Labbhantering Labbskapare Ge behörighet att skapa labb och ha fullständig kontroll över de labb som de skapar. Läs mer om rollen Labbskapare.
Labbhantering Labbdeltagare Bevilja behörighet för att hantera ett befintligt labb, men inte skapa nya labb. Läs mer om rollen Labbdeltagare.
Labbhantering Labbassistent Bevilja behörighet att visa ett befintligt labb. Kan också starta, stoppa eller återskapa valfri virtuell dator i labbet. Läs mer om labbassistentrollen.
Labbhantering Lab Services-läsare Bevilja behörighet att visa befintliga labb. Läs mer om rollen Lab Services-läsare.

Rolltilldelningsomfång

I Azure RBAC är omfånget den uppsättning resurser som åtkomsten gäller för. När du tilldelar en roll är det viktigt att förstå omfånget så att du bara beviljar den åtkomst som behövs.

I Azure kan du ange ett omfång på fyra nivåer: hanteringsgrupp, prenumeration, resursgrupp och resurs. Omfång är strukturerade i en överordnad/underordnad relation. Varje hierarkinivå gör omfånget mer specifikt. Du kan tilldela roller på någon av dessa omfångsnivåer. Den nivå du väljer avgör hur mycket rollen tillämpas. Lägre nivåer ärver rollbehörigheter från högre nivåer. Läs mer om omfång för Azure RBAC.

Överväg följande omfång för Azure Lab Services:

Scope beskrivning
Prenumeration Används för att hantera fakturering och säkerhet för alla Azure-resurser och -tjänster. Vanligtvis har endast administratörer åtkomst på prenumerationsnivå eftersom den här rolltilldelningen ger åtkomst till alla resurser i prenumerationen.
Resursgrupp En logisk container för att gruppera resurser. Rolltilldelning för resursgruppen ger behörighet till resursgruppen och alla resurser i den, till exempel labb och labbplaner.
Labbplan En Azure-resurs som används för att tillämpa vanliga konfigurationsinställningar när du skapar ett labb. Rolltilldelning för labbplanen ger endast behörighet till en specifik labbplan.
Labb En Azure-resurs som används för att tillämpa vanliga konfigurationsinställningar för att skapa och köra virtuella labbdatorer. Rolltilldelning för labbet ger endast behörighet till ett specifikt labb.

Diagram som visar rolltilldelningsomfången för Azure Lab Services.

Viktigt!

I Azure Lab Services är labbplaner och labb på samma nivå som varandra. Därför ärver labb inte några rolltilldelningar från labbplanen. Rolltilldelningar från resursgruppen ärvs dock av labbplaner och labb i den resursgruppen.

Roller för vanliga labbaktiviteter

I följande tabell visas vanliga labbaktiviteter och den roll som krävs för att en användare ska kunna utföra den aktiviteten.

Aktivitet Rolltyp Roll Omfattning
Bevilja behörighet att skapa en resursgrupp. En resursgrupp är en logisk container i Azure för att lagra labbplaner och labb. Innan du kan skapa en labbplan eller ett labb måste den här resursgruppen finnas. Administratör Ägare eller deltagare Prenumeration
Bevilja behörighet att skicka ett Microsoft-supportärende, inklusive för att begära kapacitet. Administratör Ägare, deltagare, supportbegärandedeltagare Prenumeration
Bevilja behörighet till:
– Tilldela roller till andra användare.
– Skapa/hantera labbplaner, labb och andra resurser i resursgruppen.
– Aktivera/inaktivera Marketplace och anpassade avbildningar i en labbplan.
– Bifoga/koppla från beräkningsgalleriet i en labbplan.
Administratör Ägare Resursgrupp
Bevilja behörighet till:
– Skapa/hantera labbplaner, labb och andra resurser i resursgruppen.
– Aktivera eller inaktivera Azure Marketplace och anpassade avbildningar i en labbplan.

Men inte möjligheten att tilldela roller till andra användare.
Administratör Deltagare Resursgrupp
Bevilja behörighet att skapa eller hantera egna labb för alla labbplaner i en resursgrupp. Labbhantering Labbskapare Resursgrupp
Bevilja behörighet att skapa eller hantera egna labb för en specifik labbplan. Labbhantering Labbskapare Labbplan
Bevilja behörighet att samhantera ett labb, men inte möjligheten att skapa labb. Labbhantering Labbdeltagare Labb
Bevilja behörighet till endast starta/stoppa/återskapa virtuella datorer för alla labb i en resursgrupp. Labbhantering Labbassistent Resursgrupp
Bevilja behörighet till endast starta/stoppa/återskapa virtuella datorer för ett specifikt labb. Labbhantering Labbassistent Labb

Viktigt!

En organisations prenumeration används för att hantera fakturering och säkerhet för alla Azure-resurser och -tjänster. Du kan tilldela rollen Ägare eller Deltagare för prenumerationen. Vanligtvis har endast administratörer åtkomst på prenumerationsnivå eftersom detta inkluderar fullständig åtkomst till alla resurser i prenumerationen.

Administratörsroller

Om du vill ge användarna behörighet att hantera Azure Lab Services i din organisations prenumeration bör du tilldela dem rollen Ägare, Deltagare eller Lab Services-deltagare .

Tilldela dessa roller i resursgruppen. Labbplaner och labb i resursgruppen ärver dessa rolltilldelningar.

Diagram som visar resurshierarkin och de tre administratörsrollerna som tilldelats resursgruppen.

I följande tabell jämförs de olika administratörsrollerna när de tilldelas i resursgruppen.

Labbplan/labb Aktivitet Ägare Deltagare Lab Services-deltagare
Labbplan Visa alla labbplaner i resursgruppen Ja Ja Ja
Labbplan Skapa, ändra eller ta bort alla labbplaner i resursgruppen Ja Ja Ja
Labbplan Tilldela roller till labbplaner i resursgruppen Ja Nej Nej
Labb Skapa labb i resursgruppen** Ja Ja Ja
Labb Visa andra användares labb i resursgruppen Ja Ja Ja
Labb Ändra eller ta bort andra användares labb i resursgruppen Ja Ja Nej
Labb Tilldela roller till andra användares labb i resursgruppen Ja Nej Nej

** Användare beviljas automatiskt behörighet att visa, ändra inställningar, ta bort och tilldela roller för de labb som de skapar.

Rollen Ägare

Tilldela rollen Ägare för att ge en användare fullständig kontroll för att skapa eller hantera labbplaner och labb och bevilja behörigheter till andra användare. När en användare har rollen Ägare i resursgruppen kan de utföra följande aktiviteter för alla resurser i resursgruppen:

  • Tilldela roller till administratörer så att de kan hantera labbrelaterade resurser.
  • Tilldela roller till labbchefer så att de kan skapa och hantera labb.
  • Skapa labbplaner och labb.
  • Visa, ta bort och ändra inställningar för alla labbplaner, inklusive att koppla eller koppla från beräkningsgalleriet och aktivera eller inaktivera Azure Marketplace och anpassade avbildningar i labbplaner.
  • Visa, ta bort och ändra inställningar för alla labb.

Varning

När du tilldelar rollen Ägare eller Deltagare i resursgruppen gäller dessa behörigheter även för icke-labbrelaterade resurser som finns i resursgruppen. Till exempel resurser som virtuella nätverk, lagringskonton, beräkningsgallerier med mera.

Deltagarroll

Tilldela rollen Deltagare för att ge en användare fullständig kontroll för att skapa eller hantera labbplaner och labb i en resursgrupp. Rollen Deltagare har samma behörigheter som rollen Ägare, förutom :

  • Utföra rolltilldelningar

Rollen Lab Services-deltagare

Lab Services-deltagaren är den mest restriktiva av administratörsrollerna. Tilldela rollen Lab Services-deltagare för att aktivera samma aktiviteter som rollen Ägare, förutom :

  • Utföra rolltilldelningar
  • Ändra eller ta bort andra användares labb

Kommentar

Rollen Lab Services-deltagare tillåter inte ändringar i resurser som inte är relaterade till Azure Lab Services. Å andra sidan tillåter deltagarrollen ändringar i alla Azure-resurser i resursgruppen.

Labbhanteringsroller

Använd följande roller för att ge användarna behörighet att skapa och hantera labb:

  • Labbskapare
  • Labbdeltagare
  • Labbassistent
  • Lab Services-läsare

De här labbhanteringsrollerna ger endast behörighet att visa labbplaner. De här rollerna tillåter inte att du skapar, ändrar, tar bort eller tilldelar roller till labbplaner. Dessutom kan användare med dessa roller inte koppla eller koppla från ett beräkningsgalleri och aktivera eller inaktivera avbildningar av virtuella datorer.

Rollen Labbskapare

Tilldela rollen Labbskapare för att ge en användare behörighet att skapa labb och ha fullständig kontroll över de labb som de skapar. De kan till exempel ändra sina labbinställningar, ta bort sina labb och till och med ge andra användare behörighet till sina labb.

Tilldela rollen Labbskapare för resursgruppen eller labbplanen.

Diagram som visar resurshierarkin och rollen Labbskapare som tilldelats resursgruppen och labbplanen.

I följande tabell jämförs rolltilldelningen Labbskapare för resursgruppen eller labbplanen.

Aktivitet Resursgrupp Labbplan
Skapa labb i resursgruppen** Ja Ja
Visa labb som de har skapat Ja Ja
Visa andra användares labb i resursgruppen Ja Nej
Ändra eller ta bort labb som användaren skapade Ja Ja
Ändra eller ta bort andra användares labb i resursgruppen Nej Nej
Tilldela roller till andra användares labb i resursgruppen Nej Nej

** Användare beviljas automatiskt behörighet att visa, ändra inställningar, ta bort och tilldela roller för de labb som de skapar.

Labbdeltagareroll

Tilldela rollen Labbdeltagare för att ge en användare behörighet att hantera ett befintligt labb.

Tilldela labbdeltagarerollen i labbet.

Diagram som visar resurshierarkin och labbdeltagarerollen som tilldelats labbet.

När du tilldelar labbdeltagarerollen i labbet kan användaren hantera det tilldelade labbet. Mer specifikt användaren:

  • Kan visa, ändra alla inställningar eller ta bort det tilldelade labbet.
  • Användaren kan inte visa andra användares labb.
  • Det går inte att skapa nya labb.

Labbassistentroll

Tilldela labbassistentrollen för att ge en användare behörighet att visa ett labb och starta, stoppa och återskapa virtuella labbdatorer för labbet.

Tilldela rollen Labbassistent i resursgruppen eller labbet.

Diagram som visar resurshierarkin och labbassistentrollen som tilldelats resursgruppen och labbet.

När du tilldelar rollen Labbassistent i resursgruppen ska användaren:

  • Kan visa alla labb i resursgruppen och starta, stoppa eller återskapa virtuella labbdatorer för varje labb.
  • Det går inte att ta bort eller göra andra ändringar i labbuppgifterna.

När du tilldelar labbassistentrollen i labbet ska användaren:

  • Kan visa det tilldelade labbet och starta, stoppa eller återskapa virtuella labbdatorer.
  • Det går inte att ta bort eller göra andra ändringar i labbet.
  • Det går inte att skapa nya labb.

När du har rollen Labbassistent måste du välja filtret Alla labb på Azure Lab Services-webbplatsen om du vill visa andra labb som du har beviljats åtkomst till.

Rollen Lab Services-läsare

Tilldela rollen Lab Services-läsare för att ge en användare behörighet att visa befintliga labb. Användaren kan inte göra några ändringar i befintliga labb.

Tilldela rollen Lab Services-läsare i resursgruppen eller labbet.

Diagram som visar resurshierarkin och rollen Lab Services-läsare, tilldelad till resursgruppen och labbet.

När du tilldelar rollen Lab Services-läsare i resursgruppen kan användaren:

  • Visa alla labb i resursgruppen.

När du tilldelar rollen Lab Services-läsare i labbet kan användaren:

  • Visa endast det specifika labbet.

Identitets- och åtkomsthantering (IAM)

Sidan Åtkomstkontroll (IAM) i Azure-portalen används för att konfigurera rollbaserad åtkomstkontroll för Azure Lab Services-resurser. Du kan använda inbyggda roller för individer och grupper i Active Directory. Följande skärmbild visar Active Directory-integrering (Azure RBAC) med åtkomstkontroll (IAM) i Azure-portalen:

Skärmbild som visar sidan Åtkomstkontroll i Azure-portalen för att hantera rolltilldelningar.

Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.

Resursgrupps- och labbplansstruktur

Din organisation bör investera tid i förväg för att planera strukturen för resursgrupper och labbplaner. Detta är särskilt viktigt när du tilldelar roller i resursgruppen eftersom den även tillämpar behörigheter för alla resurser i resursgruppen.

Så här ser du till att användarna endast beviljas behörighet till lämpliga resurser:

  • Skapa resursgrupper som bara innehåller labbrelaterade resurser.

  • Organisera labbplaner och labb i separata resursgrupper enligt de användare som ska ha åtkomst.

Du kan till exempel skapa separata resursgrupper för olika avdelningar för att isolera varje avdelnings labbresurser. Labbskapare på en avdelning kan sedan beviljas behörigheter för resursgruppen, vilket endast ger dem åtkomst till labbresurserna på deras avdelning.

Viktigt!

Planera resursgruppens och labbplanens struktur i förväg eftersom det inte går att flytta labbplaner eller labb till en annan resursgrupp när de har skapats.

Åtkomst till flera resursgrupper

Du kan ge användare åtkomst till flera resursgrupper. På Webbplatsen för Azure Lab Services kan användaren sedan välja från listan över resursgrupper för att visa sina labb.

Skärmbild som visar hur du väljer mellan resursgrupper på Webbplatsen för Azure Lab Services.

Åtkomst till flera labbplaner

Du kan ge användare åtkomst till flera labbplaner. När du till exempel tilldelar rollen Labbskapare till en användare i en resursgrupp som innehåller mer än en labbplan. Användaren kan sedan välja från listan över labbplaner när du skapar ett nytt labb.

Skärmbild som visar hur du väljer mellan labbplaner när du skapar ett labb på Azure Lab Services webbplats.

Nästa steg