Rollenbasierte Azure-Zugriffssteuerung in Azure Lab Services
Wichtig
Azure Lab Services wird am 28. Juni 2027 eingestellt. Weitere Informationen finden Sie im Einstellungsleitfaden.
Azure Lab Services bietet eine in Azure integrierte rollenbasierte Zugriffssteuerung (Azure RBAC) für gängige Verwaltungsszenarios in Azure Lab Services. Eine Person mit einem Profil in Microsoft Entra ID kann diese Azure-Rollen Benutzern, Gruppen, Dienstprinzipalen oder verwalteten Identitäten zuweisen, um den Zugriff auf Ressourcen und Vorgänge für Azure Lab Services-Ressourcen zu gewähren oder zu verweigern. In diesem Artikel werden die verschiedenen integrierten Rollen beschrieben, die Azure Lab Services unterstützt.
Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) in Azure ist ein Autorisierungssystem, das auf Azure Resource Manager basiert und eine präzise Verwaltung des Zugriffs auf Azure-Ressourcen ermöglicht.
Azure RBAC gibt integrierte Rollendefinitionen an, die die anzuwendenden Berechtigungen beschreiben. Sie weisen einem Benutzer oder einer Gruppe diese Rollendefinition über eine Rollenzuweisung für einen bestimmten Bereich zu. Der Bereich kann eine einzelne Ressource, eine Ressourcengruppe oder das gesamte Abonnement sein. Im nächsten Abschnitt erfahren Sie, welche integrierten Rollen Azure Lab Services unterstützt.
Weitere Informationen finden Sie unter Was ist die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC)?
Hinweis
Wenn Sie Änderungen an der Rollenzuweisung vornehmen, kann es einige Minuten dauern, bis diese greifen.
Integrierte Rollen
In diesem Artikel werden die integrierten Azure-Rollen logisch in zwei Rollentypen gruppiert, basierend auf ihrem Einflussbereich:
- Administratorrollen: Einfluss auf Berechtigungen für Labpläne und Labs
- Labverwaltungsrollen: Einfluss auf Berechtigungen für Labs
Im Folgenden sind die integrierten Rollen aufgeführt, die von Azure Lab Services unterstützt werden:
Rollentyp | Integrierte Rolle | Beschreibung |
---|---|---|
Administrator | Besitzer | Gewährt Vollzugriff, um Labpläne und Labs zu erstellen und zu verwalten und anderen Benutzern Berechtigungen zu erteilen. Weitere Informationen zur Rolle Besitzer |
Administrator | Mitwirkender | Gewährt Vollzugriff, um Labpläne und Labs zu erstellen und zu verwalten, aber anderen Benutzern können keine Rollen zugewiesen werden. Weitere Informationen zur Rolle Mitwirkender |
Administrator | Mitwirkender für Lab Services | Gewährt die gleichen Berechtigungen wie für die Rolle „Besitzer“, aber die Rollenzuweisung ist nicht möglich. Weitere Informationen zur Rolle Lab-Dienst-Mitwirkender |
Labverwaltung | Lab-Ersteller | Gewährt die Berechtigung, um Labs zu erstellen, und Vollzugriff auf selbst erstellte Labs Weitere Informationen zur Rolle Ersteller des Labs |
Labverwaltung | Lab-Mitwirkender | Gewährt die Berechtigung, bestehende Labs zu verwalten, aber nicht für die Erstellung neuer Labs. Weitere Informationen zur Rolle Lab-Mitwirkender |
Labverwaltung | Lab-Assistent | Gewährt die Berechtigung zum Anzeigen vorhandener Labs. Kann auch jede VM im Lab starten, beenden oder ein Reimaging durchführen. Weitere Informationen zur Rolle Lab-Assistent |
Labverwaltung | Lab Services Reader | Gewährt die Berechtigung zum Anzeigen vorhandener Labs. Weitere Informationen zur Rolle Lab-Dienst-Leser |
Rollenzuweisungsbereich
In Azure RBAC ist ein Bereich der Ressourcensatz, für den Zugriffsberechtigungen gelten. Wenn Sie eine Rolle zuweisen, ist es wichtig, den Bereich zu kennen, damit Sie nur den benötigten Zugriff gewähren.
In Azure können Sie auf vier Ebenen einen Bereich angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource. Bereiche sind in einer Beziehung zwischen über- und untergeordneten Elementen strukturiert. Mit jeder Hierarchieebene wird der Bereich spezifischer. Sie können Rollen auf jeder dieser Bereichsebenen zuweisen. Die von Ihnen ausgewählte Ebene bestimmt, wie umfassend die Rolle angewendet wird. Niedrigere Ebenen erben die Rollenberechtigungen von höheren Ebenen. Hier erfahren Sie mehr über Bereiche für Azure RBAC.
Berücksichtigen Sie für Azure Lab Services die folgenden Bereiche:
Bereich | Beschreibung |
---|---|
Abonnement | Wird verwendet, um Abrechnung und Sicherheit für alle Azure-Ressourcen und -Dienste zu verwalten. Normalerweise haben nur Administratoren Zugriff auf Abonnementebene, da diese Rollenzuweisung Zugriff auf alle Ressourcen im Abonnement gewährt. |
Resource group | Ein logischer Container zum Gruppieren von Ressourcen. Die Rollenzuweisung für die Ressourcengruppe gewährt Berechtigungen für die Ressourcengruppe und alle darin enthaltenen Ressourcen, z. B. Labs und Labpläne. |
Lab-Plan | Eine Azure-Ressource, die verwendet wird, um allgemeine Konfigurationseinstellungen anzuwenden, wenn Sie ein Lab erstellen. Die Rollenzuweisung für den Labplan gewährt nur einem bestimmten Labplan die Berechtigung. |
Labor | Eine Azure-Ressource, die verwendet wird, um allgemeine Konfigurationseinstellungen zum Erstellen und Ausführen von Lab-VMs anzuwenden. Die Rollenzuweisung für das Lab gewährt nur einem bestimmten Lab die Berechtigung. |
Wichtig
In Azure Lab Services sind Labpläne und Labs gleichgeordnete Ressourcen. Daher erben Labs keine Rollenzuweisungen vom Labplan. Rollenzuweisungen aus der Ressourcengruppe werden jedoch von Labplänen und Labs in dieser Ressourcengruppe geerbt.
Rollen für allgemeine Labaktivitäten
Die folgende Tabelle enthält allgemeine Labaktivitäten und die Rolle, die für einen Benutzer zum Ausführen dieser Aktivität erforderlich ist.
Aktivität | Rollentyp | Rolle | Bereich |
---|---|---|---|
Gewähren der Berechtigung zum Erstellen einer Ressourcengruppe. Eine Ressourcengruppe ist ein logischer Container in Azure für die Labpläne und Labs. Bevor Sie einen Labplan oder ein Lab erstellen können, muss diese Ressourcengruppe vorhanden sein. | Administrator | Besitzer oder Mitwirkender | Abonnement |
Gewähren der Berechtigung zum Übermitteln eines Microsoft-Supporttickets, einschließlich zum Anfordern von Kapazität. | Administrator | Besitzer, Mitwirkender, Mitwirkender bei Supportanfragen | Abonnement |
Gewährt Berechtigung zum: – Zuweisen von Rollen zu anderen Benutzern – Erstellen/Verwalten von Labplänen, Labs und anderen Ressourcen innerhalb der Ressourcengruppe – Aktivieren/Deaktivieren von Marketplaces und benutzerdefinierten Images in einem Labplan – Anfügen/Trennen des Berechnungskatalogs in einem Labplan |
Administrator | Besitzer | Resource group |
Gewährt Berechtigung zum: – Erstellen/Verwalten von Labplänen, Labs und anderen Ressourcen innerhalb der Ressourcengruppe – Aktivieren oder Deaktivieren von Azure Marketplace und benutzerdefinierten Images in einem Labplan Das Zuweisen von Rollen zu anderen Benutzern ist jedoch nicht möglich. |
Administrator | Mitwirkender | Resource group |
Gewähren der Berechtigung zum Erstellen oder Verwalten von eigenen Labs für alle Labpläne innerhalb einer Ressourcengruppe | Labverwaltung | Lab-Ersteller | Resource group |
Gewähren der Berechtigung zum Erstellen oder Verwalten von eigenen Labs für einen bestimmten Labplan | Labverwaltung | Lab-Ersteller | Lab-Plan |
Gewähren der Berechtigung zum gemeinsamen Verwalten eines Labs, aber nicht die Berechtigung zum Erstellen von Lab | Labverwaltung | Lab-Mitwirkender | Labor |
Gewähren der Berechtigung, VMs für alle Labs innerhalb einer Ressourcengruppe nur zu starten, zu beenden oder ein Reimaging durchzuführen | Labverwaltung | Lab-Assistent | Resource group |
Gewähren der Berechtigung, VMs für alle Labs für ein bestimmtes Lab nur zu starten, zu beenden oder ein Reimaging durchzuführen | Labverwaltung | Lab-Assistent | Labor |
Wichtig
Das Abonnement einer Organisation wird verwendet, um die Abrechnung und Sicherheit für alle Azure-Ressourcen und -Dienste zu verwalten. Sie können die Rolle „Besitzer“ oder „Mitwirkender“ für das Abonnement zuweisen. Normalerweise haben nur Administratoren Zugriff auf Abonnementebene, da diese Vollzugriff auf alle Ressourcen im Abonnement gewährt.
Administratorrollen
Um Benutzern die Berechtigung zum Verwalten von Azure Lab Services innerhalb des Abonnements Ihrer Organisation zu erteilen, sollten Sie ihnen die Rolle Besitzer, Mitwirkender oder Lab-Dienst-Mitwirkender zuweisen.
Weisen Sie diese Rollen in der Ressourcengruppe zu. Die Labpläne und Labs innerhalb der Ressourcengruppe erben diese Rollenzuweisungen.
In der folgenden Tabelle werden die verschiedenen Administratorrollen verglichen, wenn sie der Ressourcengruppe zugewiesen sind.
Labplan/Lab | Aktivität | Besitzer | Mitwirkender | Mitwirkender für Lab Services |
---|---|---|---|---|
Lab-Plan | Anzeigen aller Labpläne innerhalb der Ressourcengruppe | Ja | Ja | Ja |
Lab-Plan | Erstellen, Ändern oder Löschen aller Labpläne innerhalb der Ressourcengruppe | Ja | Ja | Ja |
Lab-Plan | Zuweisen von Rollen zu Labplänen innerhalb der Ressourcengruppe | Ja | Nr. | No |
Labor | Erstellen von Labs innerhalb der Ressourcengruppe** | Ja | Ja | Ja |
Labor | Anzeigen anderer Benutzerlabs innerhalb der Ressourcengruppe | Ja | Ja | Ja |
Labor | Ändern oder Löschen anderer Benutzerlabs innerhalb der Ressourcengruppe | Ja | Ja | No |
Labor | Zuweisen von Rollen zu anderen Benutzerlabs innerhalb der Ressourcengruppe | Ja | Nr. | No |
** Benutzern wird automatisch die Berechtigung zum Anzeigen, Ändern von Einstellungen, Löschen und Zuweisen von Rollen für die von ihnen erstellten Labs erteilt.
Rolle „Besitzer“
Weisen Sie die Rolle „Besitzer“ zu, um einem Benutzer Vollzugriff zum Erstellen oder Verwalten von Labplänen und Labs zu gewähren und anderen Benutzern Berechtigungen zu erteilen. Wenn ein Benutzer über die Rolle „Besitzer“ in der Ressourcengruppe verfügt, kann er die folgenden Aktivitäten für alle Ressourcen innerhalb der Ressourcengruppe ausführen:
- Zuweisen von Rollen zu Administratoren, damit sie labbezogene Ressourcen verwalten können
- Zuweisen von Rollen zu Labmanagern, damit sie Labs erstellen und verwalten können
- Erstellen von Labplänen und Labs
- Anzeigen, Löschen und Ändern von Einstellungen für alle Labpläne, einschließlich Anfügen oder Trennen des Computekatalogs und Aktivieren oder Deaktivieren von Azure Marketplace und benutzerdefinierten Images in Labplänen
- Anzeigen, Löschen und Ändern von Einstellungen für alle Labs
Achtung
Wenn Sie in der Ressourcengruppe die Rolle „Besitzer“ oder „Mitwirkender“ zuweisen, gelten diese Berechtigungen auch für nicht labbezogene Ressourcen, die in der Ressourcengruppe vorhanden sind. Dazu zählen Ressourcen wie virtuelle Netzwerke, Speicherkonten und Computekataloge.
Rolle des Mitwirkenden
Weisen Sie die Rolle „Mitwirkender“ zu, um einem Benutzer den Vollzugriff zum Erstellen oder Verwalten von Labplänen und Labs innerhalb einer Ressourcengruppe zu gewähren. Die Rolle „Mitwirkender“ verfügt über die gleichen Berechtigungen wie die Rolle „Besitzer“, mit Ausnahme von:
- Ausführen von Rollenzuweisungen
Rolle „Lab-Dienst-Mitwirkender“
Die Rolle „Lab-Dienst-Mitwirkender“ ist die restriktivste der Administratorrollen. Weisen Sie die Rolle „Lab-Dienst-Mitwirkender“ zu, um dieselben Aktivitäten wie für die Rolle „Besitzer“ zu ermöglichen, mit Ausnahme von:
- Ausführen von Rollenzuweisungen
- Ändern oder Löschen der Labs anderer Benutzer
Hinweis
Die Rolle „Lab-Dienst-Mitwirkender“ lässt keine Änderungen an Ressourcen zu, die nicht mit Azure Lab Services in Verbindung stehen. Andererseits ermöglicht der Rolle Mitwirkender Änderungen an allen Azure-Ressourcen innerhalb der Ressourcengruppe.
Labverwaltungsrollen
Verwenden Sie die folgenden Rollen, um Benutzern Berechtigungen zum Erstellen und Verwalten von Labs zu erteilen:
- Lab-Ersteller
- Lab-Mitwirkender
- Lab-Assistent
- Lab Services Reader
Diese Labverwaltungsrollen erteilen nur die Berechtigung zum Anzeigen von Labplänen. Diese Rollen ermöglichen das Erstellen, Ändern, Löschen oder Zuweisen von Rollen zu Labplänen nicht. Darüber hinaus können Benutzer mit diesen Rollen keinen Computekatalog anfügen oder trennen und VM-Images nicht aktivieren oder deaktivieren.
Rolle „Ersteller des Labs“
Weisen Sie die Rolle „Ersteller des Labs“ zu, um einem Benutzer die Berechtigung zum Erstellen von Labs und Vollzugriff auf die von ihm erstellten Labs zu erteilen. Beispielsweise kann er Labeinstellungen ändern, eigene Labs löschen und sogar anderen Benutzern die Berechtigung für seine Labs erteilen.
Weisen Sie die Rolle „Ersteller des Labs“ in der Ressourcengruppe oder im Labplan zu.
In der folgenden Tabelle wird die Rollenzuweisung „Ersteller des Labs“ für die Ressourcengruppe oder den Labplan verglichen.
Aktivität | Resource group | Lab-Plan |
---|---|---|
Erstellen von Labs innerhalb der Ressourcengruppe** | Ja | Ja |
Anzeigen von selbst erstellten Labs | Ja | Ja |
Anzeigen anderer Benutzerlabs innerhalb der Ressourcengruppe | Ja | No |
Ändern oder Löschen von Labs, die der Benutzer erstellt hat | Ja | Ja |
Ändern oder Löschen anderer Benutzerlabs innerhalb der Ressourcengruppe | No | No |
Zuweisen von Rollen zu anderen Benutzerlabs innerhalb der Ressourcengruppe | No | No |
** Benutzern wird automatisch die Berechtigung zum Anzeigen, Ändern von Einstellungen, Löschen und Zuweisen von Rollen für die von ihnen erstellten Labs erteilt.
Rolle „Lab-Mitwirkender“
Weisen Sie die Rolle „Lab-Mitwirkender“ zu, um einem Benutzer die Berechtigung zum Verwalten eines vorhandenen Labs zu erteilen.
Weisen Sie die Rolle „Lab-Mitwirkender“ im Lab zu.
Wenn Sie im Lab die Rolle „Lab-Mitwirkender“ zuweisen, kann der Benutzer das zugewiesene Lab verwalten. Insbesondere kann der Benutzer:
- Alle Einstellungen anzeigen, ändern oder das zugewiesene Lab löschen
- Der Benutzer kann keine Labs anderer Benutzer anzeigen.
- Er kann keine neuen Labs erstellen.
Rolle „Lab-Assistent“
Weisen Sie die Rolle „Lab-Assistent“ zu, um einem Benutzer die Berechtigung zum Anzeigen eines Labs und zum Starten, Beenden und Reimaging von Lab-VMs für das Lab zu erteilen.
Weisen Sie die Rolle „Lab-Assistent" in der Ressourcengruppe oder im Lab zu.
Wenn Sie in der Ressourcengruppe die Rolle „Lab-Assistent“ zuweisen, kann der Benutzer:
- alle Labs innerhalb der Ressourcengruppe anzeigen und VMs für jedes Labor starten, beenden oder ein Reimaging durchführen
- keine Labs löschen oder andere Änderungen an diesen vornehmen
Wenn Sie die Rolle „Lab-Assistent“ im Lab zuweisen, kann der Benutzer:
- das zugewiesene Lab anzeigen und VMs starten, beenden oder ein Reimaging durchführen
- keine Labs löschen oder andere Änderungen an diesen vornehmen
- keine neuen Labs erstellen
Wenn Sie die Rolle „Lab-Assistent“ besitzen, müssen Sie auf der Azure Lab Services-Website den Filter Alle Labs auswählen, um andere Labs anzuzeigen, auf die Sie Zugriff erhalten haben.
Rolle „Lab-Dienst-Leser“
Weisen Sie die Rolle „Lab-Dienst-Leser“ zu, um einem Benutzer die Berechtigung zum Anzeigen vorhandener Labs zu erteilen. Der Benutzer kann keine Änderungen an vorhandenen Labs vornehmen.
Weisen Sie die Rolle „Lab-Dienst-Leser“ für die Ressourcengruppe oder das Lab zu.
Wenn Sie in der Ressourcengruppe die Rolle „Lab-Dienst-Leser“ zuweisen, kann der Benutzer:
- alle Labpläne innerhalb der Ressourcengruppe anzeigen
Wenn Sie im Lab die Rolle „Lab-Dienst-Leser“ zuweisen, kann der Benutzer:
- nur das jeweilige Lab anzeigen
Identitäts- und Zugriffsverwaltung (IAM)
Die Seite Zugriffssteuerung (IAM) im Azure-Portal dient zum Konfigurieren der rollenbasierten Azure-Zugriffssteuerung für Azure Lab Services-Ressourcen. Sie können integrierte Rollen für Einzelpersonen und Gruppen in Active Directory verwenden. Der folgende Screenshot zeigt die Active Directory-Integration (Azure RBAC) mithilfe der Zugriffssteuerung (IAM) im Azure-Portal:
Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
Ressourcengruppen- und Labplanstruktur
Ihre Organisation sollte im Voraus Zeit investieren, um die Struktur von Ressourcengruppen und Labplänen zu planen. Das ist insbesondere dann wichtig, wenn Sie in der Ressourcengruppe Rollen zuweisen, da Berechtigungen dadurch auf alle Ressourcen in der Ressourcengruppe angewendet werden.
So stellen Sie sicher, dass Benutzern nur Berechtigungen für die gewünschten Ressourcen erteilt werden:
Erstellen Sie Ressourcengruppen, die nur labbezogene Ressourcen enthalten.
Organisieren Sie Labpläne und Labs entsprechend den Benutzern, die Zugriff haben sollten, in separate Ressourcengruppen.
Sie können beispielsweise separate Ressourcengruppen für verschiedene Abteilungen erstellen, um die Labressourcen der einzelnen Abteilungen zu isolieren. Labersteller in einer Abteilung können dann Berechtigungen für die Ressourcengruppe erhalten, die ihnen nur Zugriff auf die Labressourcen ihrer Abteilung gewährt.
Wichtig
Planen Sie die Ressourcengruppe und die Labplanstruktur vorab, da es nicht möglich ist, Labpläne oder Labs nach der Erstellung in eine andere Ressourcengruppe zu verschieben.
Zugriff auf mehrere Ressourcengruppen
Sie können Benutzern Zugriff auf mehrere Ressourcengruppen gewähren. Auf der Azure Lab Services-Website kann der Benutzer dann aus der Liste der Ressourcengruppen wählen, um seine Labs anzuzeigen.
Zugriff auf mehrere Labpläne
Sie können Benutzern Zugriff auf mehrere Labpläne gewähren. Beispiel: Wenn Sie einem Benutzer in einer Ressourcengruppe, die mehrere Labpläne enthält, die die Rolle „Ersteller des Labs“ zuweisen. Der Benutzer kann dann bei der Erstellung eines neuen Labs aus der Liste der Labpläne auswählen.