在 Azure DevTest Labs 中新增實驗室擁有者、參與者和使用者

  • 發行項

Azure DevTest Labs 會使用 Azure 角色型存取控制 (Azure RBAC) 來定義只有執行特定實驗室工作所需存取權的角色。 DevTest Labs 有三個內建角色: 擁有者 參與者 DevTest Labs 使用者 。 本文說明每個角色可以執行的工作,以及如何使用 Azure 入口網站 或 Azure PowerShell 腳本,將成員新增至實驗室角色。

每個角色都可以採取的動作

實驗室擁有者、參與者和 DevTest Labs 使用者角色可以在 DevTest Labs 中採取下列動作:

負責人

實驗室擁有者角色可以採取下列所有動作:

實驗室工作:

  • 將使用者新增至實驗室。
  • 更新成本設定。

虛擬機器 (VM) 基底工作:

  • 新增和移除自訂映射。
  • 新增、更新和刪除公式。
  • 啟用 Marketplace 映射。

VM 工作:

  • 建立 VM。
  • 啟動、停止或刪除 VM。
  • 更新 VM 原則。
  • 新增或移除 VM 資料磁片。

成品工作:

  • 新增和移除成品存放庫。
  • 將成品套用至 VM。

參與者

實驗室參與者角色可以採取與實驗室擁有者相同的所有動作,但無法將使用者新增至實驗室。

DevTest Labs 使用者

DevTest Labs 使用者角色可以在 DevTest Labs 中採取下列動作:

  • 新增、更新和刪除 VM 基底公式。
  • 建立 VM。
  • 啟動、停止或刪除使用者建立的 VM。
  • 從使用者建立的 VM 新增或移除資料磁片。
  • 將成品套用至 VM。

注意

實驗室使用者會自動在他們建立的 VM 上擁有 擁有者 角色。

新增擁有者、參與者或 DevTest Labs 使用者

實驗室擁有者可以使用 Azure 入口網站 或 Azure PowerShell 腳本,將成員新增至實驗室角色。 要新增的使用者可以是具有有效 Microsoft 帳戶 (MSA) 的外部使用者。

Azure 許可權會從父範圍傳播到子範圍。 包含實驗室的 Azure 訂用帳戶擁有者會自動擁有訂用帳戶的 DevTest Labs 服務、實驗室和實驗室 VM 和資源。 訂用帳戶擁有者可以將擁有者、參與者和 DevTest Labs 使用者新增至訂用帳戶中的實驗室。

注意

已新增實驗室擁有者的系統管理範圍比訂用帳戶擁有者的範圍更窄。 已新增擁有者無法完整存取 DevTest Labs 服務所建立的某些資源。

必要條件

若要將成員新增至實驗室,您必須:

使用 Azure 入口網站 新增實驗室成員

若要新增成員:

  • 在訂用帳戶層級,開啟訂用帳戶頁面。
  • 在實驗室層級,開啟具有實驗室的資源群組,然後從資源清單中選取實驗室。

  1. 在訂用帳戶或實驗室的左側導覽中,選取 [存取控制][IAM]。

  2. 選取新增>新增角色指派

    Screenshot that shows an access control (IAM) page with the Add role assignment menu open.

  3. 在 [ 新增角色指派 ] 頁面上,選取 [ 擁有者 ]、 [參與者 ] 或 [DevTest Labs 使用者 ] 角色,然後選取 [ 下一步 ]。

    Screenshot that shows the Add role assignment page with the Role tab selected.

  4. [成員] 索引標籤上,選取 [選取成員]

  5. 在 [ 選取成員 ] 畫面上,選取您要新增的成員,然後選取 [選取 ]。

  6. 選取 [ 檢閱 + 指派 ],然後在檢閱詳細資料之後,再次選取 [ 檢閱 + 指派 ]。

使用 Azure PowerShell 將 DevTest Labs 使用者新增至實驗室

注意

建議您使用 Azure Az PowerShell 模組來與 Azure 互動。 請參閱安裝 Azure PowerShell 以開始使用。 若要了解如何移轉至 Az PowerShell 模組,請參閱將 Azure PowerShell 從 AzureRM 移轉至 Az

您可以使用下列 Azure PowerShell 腳本,將 DevTest Labs 使用者新增至實驗室。 腳本需要使用者位於 Microsoft Entra ID 中。 如需將外部使用者新增至 Microsoft Entra ID 作為來賓的詳細資訊,請參閱 新增來賓使用者 。 如果使用者不在 Microsoft Entra ID 中,請改用入口網站程式。

在下列腳本中,更新批註底下 # Values to change 的參數值。 您可以從實驗室主頁面的 Azure 入口網站取得 subscriptionIdlabResourceGrouplabName 值。

# Add an external user to a lab user role in DevTest Labs.
# Make sure the guest user is added to Azure AD.

# Values to change
$subscriptionId = "<Azure subscription ID>"
$labResourceGroup = "<Lab's resource group name>"
$labName = "<Lab name>"
$userDisplayName = "<User's display name>"

# Log into your Azure account.
Connect-AzAccount

# Select the Azure subscription that contains the lab. This step is optional if you have only one subscription.
Select-AzSubscription -SubscriptionId $subscriptionId

# Get the user object.
$adObject = Get-AzADUser -SearchString $userDisplayName

# Create the role assignment. 
$labId = ('subscriptions/' + $subscriptionId + '/resourceGroups/' + $labResourceGroup + '/providers/Microsoft.DevTestLab/labs/' + $labName)
New-AzRoleAssignment -ObjectId $adObject.Id -RoleDefinitionName 'DevTest Labs User' -Scope $labId

下一步