Hinzufügen der Lab-Rollen Besitzer, Mitwirkender und Benutzer in Azure DevTest Labs

In Azure DevTest Labs wird die rollenbasierte Zugriffssteuerung von Azure (Azure Role-Based Access Control, Azure RBAC) verwendet, um Rollen zu definieren, die nur über den erforderlichen Zugriff für bestimmte Lab-Aufgaben verfügen. In DevTest Labs gibt es drei integrierte Rollen: Besitzer, Mitwirkender und DevTest Labs-Benutzer. In diesem Artikel werden die Aufgaben beschrieben, die mit den einzelnen Rollen durchgeführt werden können, und es wird erläutert, wie den Lab-Rollen über das Azure-Portal oder mithilfe eines Azure PowerShell-Skripts Mitglieder hinzugefügt werden können.

Aktionen, die die einzelnen Rollen ausführen können

Die Lab-Rollen Besitzer, Mitwirkender und DevTest Labs-Benutzer können in DevTest Labs folgende Aktionen ausführen:

Besitzer

Die Lab-Rolle Besitzer kann folgende Aktionen ausführen:

Lab-Aufgaben:

• Hinzufügen von Benutzer*innen zum Lab
• Aktualisieren von Kosteneinstellungen

Grundlegende Aufgaben für virtuelle Computer:

• Hinzufügen und Entfernen von benutzerdefinierten Images
• Hinzufügen, Aktualisieren und Löschen von Formeln
• Aktivieren von Marketplace-Images

Aufgaben für virtuelle Computer:

• Erstellen von virtuellen Computern
• Starten, Beenden oder Löschen von virtuellen Computern
• Aktualisieren von VM-Richtlinien
• Hinzufügen oder Entfernen von VM-Datenträgern

Artefakt-Aufgaben:

• Hinzufügen und Entfernen von Artefaktrepositorys
• Anwenden von Artefakten auf virtuelle Computer

Mitwirkender

Die Lab-Rolle Mitwirkender kann dieselben Aktionen ausführen wie die Lab-Rolle Besitzer, kann Labs jedoch keine Benutzer*innen hinzufügen.

DevTest Labs-Benutzer

Die Rolle DevTest Labs-Benutzer kann in DevTest Labs folgende Aktionen ausführen:

• Hinzufügen, Aktualisieren und Löschen von Formeln auf VM-Basis
• Erstellen von virtuellen Computern
• Starten, Beenden oder Löschen von VMs, die vom Benutzer erstellt wurden
• Hinzufügen oder Entfernen von Datenträgern auf virtuellen Computern, die vom Benutzer erstellt wurden
• Anwenden von Artefakten auf virtuelle Computer

Hinzufügen von Besitzern, Mitwirkenden oder DevTest Labs-Benutzern

Ein Lab-Besitzer kann den Lab-Rollen über das Azure-Portal oder mithilfe eines Azure PowerShell-Skripts Mitglieder hinzufügen. Bei dem hinzuzufügenden Benutzer kann es sich um einen externen Benutzer mit gültigem Microsoft-Konto (MSA) handeln.

Azure-Berechtigungen werden vom übergeordneten Bereich an den untergeordneten Bereich weitergegeben. Besitzer eines Azure-Abonnements, das Labs enthält, sind automatisch Besitzer des DevTest Labs-Diensts, der Labs und der Lab-VMs und -Ressourcen des Abonnements. Abonnementbesitzer können Labs im Abonnement Besitzer, Mitwirkende und DevTest Labs-Benutzer hinzufügen.

Voraussetzungen

Zum Hinzufügen von Mitgliedern zu einem Lab müssen Sie folgende Voraussetzungen erfüllen:

• Sie müssen Besitzer des Labs sein, entweder direkt oder durch Vererbung als Abonnementbesitzer.
• Sie müssen Sich beim Azure-Portal als Besitzer oder Benutzerzugriffsadministrator anmelden.

Hinzufügen eines Lab-Mitglieds über das Azure-Portal

So fügen Sie ein Mitglied hinzu:

• Öffnen Sie auf Abonnementebene die Abonnementseite.
• Öffnen Sie auf Lab-Ebene die Ressourcengruppe, die über das Lab verfügt, und wählen Sie in der Ressourcenliste das Lab aus.

1. Wählen Sie im linken Navigationsbereich für das Abonnement oder das Lab die Option Zugriffssteuerung (IAM) aus.

2. Wählen Sie Hinzufügen>Rollenzuweisung hinzufügen.

   

3. Wählen Sie auf der Seite Rollenzuweisung hinzufügen die Rolle Besitzer, Mitwirkender oder DevTest Labs-Benutzer und dann Weiter aus.

   

4. Wählen Sie auf der Registerkarte Mitglieder die Option Mitglieder auswählen aus.

5. Wählen Sie auf dem Bildschirm Mitglieder auswählen das Mitglied aus, das Sie hinzufügen möchten, und wählen Sie dann Auswählen aus.

6. Wählen Sie Überprüfen und zuweisen aus, und klicken Sie nach dem Überprüfen der Details erneut auf Überprüfen und zuweisen.

Hinzufügen eines DevTest Labs-Benutzers zu einem Lab mithilfe von Azure PowerShell

Sie können einem Lab einen DevTest Labs-Benutzer hinzufügen, indem Sie das folgende Azure PowerShell-Skript verwenden. Das Skript erfordert, dass der Benutzer in Microsoft Entra ID enthalten ist. Informationen zum Hinzufügen eines externen Benutzers zu Microsoft Entra ID als Gast finden Sie unter Hinzufügen eines neuen Gastbenutzers. Wenn sich der Benutzer nicht in Microsoft Entra ID befindet, verwenden Sie stattdessen das Portal.

Aktualisieren Sie im folgenden Skript die Parameterwerte unter dem Kommentar # Values to change. Sie können die Werte für subscriptionId, labResourceGroup und labName auf der Hauptseite des Labs im Azure-Portal abrufen.

# Add an external user to a lab user role in DevTest Labs.
# Make sure the guest user is added to Azure AD.

# Values to change
$subscriptionId = "<Azure subscription ID>"
$labResourceGroup = "<Lab's resource group name>"
$labName = "<Lab name>"
$userDisplayName = "<User's display name>"

# Log into your Azure account.
Connect-AzAccount

# Select the Azure subscription that contains the lab. This step is optional if you have only one subscription.
Select-AzSubscription -SubscriptionId $subscriptionId

# Get the user object.
$adObject = Get-AzADUser -SearchString $userDisplayName

# Create the role assignment. 
$labId = ('subscriptions/' + $subscriptionId + '/resourceGroups/' + $labResourceGroup + '/providers/Microsoft.DevTestLab/labs/' + $labName)
New-AzRoleAssignment -ObjectId $adObject.Id -RoleDefinitionName 'DevTest Labs User' -Scope $labId

Nächste Schritte

• Anpassen der Berechtigungen mit benutzerdefinierten Rollen
• Automatisieren des Hinzufügens eines Lab-Benutzers