Share via

التحكم في الوصول المستند إلى الدور في Azure Lab Services

  • مقالة

توفر Azure Lab Services التحكم المضمن في الوصول المستند إلى الدور في Azure (Azure RBAC) لسيناريوهات الإدارة الشائعة في Azure Lab Services. يمكن للفرد الذي لديه ملف تعريف في معرف Microsoft Entra تعيين أدوار Azure هذه للمستخدمين أو المجموعات أو أساسيات الخدمة أو الهويات المدارة لمنح الوصول إلى الموارد والعمليات على موارد Azure Lab Services أو رفضها. توضح هذه المقالة الأدوار المضمنة المختلفة التي تدعمها Azure Lab Services.

إن التحكم في الوصول المستند إلى الدور (RBAC) في Azure هو نظام مصادقة تم إنشاؤه على Azure Resource Manager الذي يوفر إدارة وصول دقيقة لموارد Azure.

يحدد Azure RBAC تعريفات الأدوار المضمنة التي تحدد الأذونات التي سيتم تطبيقها. يمكنك تعيين مستخدم أو مجموعة لتعريف الدور هذا عبر تعيين دور لنطاق معين. يمكن أن يكون النطاق موردًا فرديًّا أو مجموعة موارد أو عبر الاشتراك. في القسم التالي، ستتعرف على الأدوار المضمنة التي تدعمها Azure Lab Services.

لمزيد من المعلومات، راجع ما هو التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) ؟

إشعار

عند إجراء تغييرات على تعيين الدور، قد يستغرق نشر هذه التحديثات بضع دقائق.

الأدوار المضمنة

في هذه المقالة، يتم تجميع الأدوار المضمنة في Azure منطقيا في نوعين من الأدوار، بناء على نطاق تأثيرها:

  • أدوار مسؤول istrator: التأثير على أذونات خطط المختبر والمختبرات
  • أدوار إدارة المختبر: التأثير على أذونات المختبرات

فيما يلي الأدوار المضمنة التي تدعمها Azure Lab Services:

نوع الدور الدور مدمج ‏‏الوصف
المسؤول المالك امنح التحكم الكامل لإنشاء/إدارة خطط المختبرات والمختبرات، ومنح أذونات للمستخدمين الآخرين. تعرف على المزيد حول دور المالك.
المسؤول المساهم امنح التحكم الكامل لإنشاء/إدارة خطط المختبرات والمختبرات، باستثناء تعيين الأدوار للمستخدمين الآخرين. تعرف على المزيد حول دور المساهم.
المسؤول مساهم خدمات المختبر امنح نفس الأذونات مثل دور المالك، باستثناء تعيين الأدوار. تعرف على المزيد حول دور المساهم في خدمات المختبر.
إدارة المختبر منشئ المختبر منح الإذن لإنشاء مختبرات والتحكم الكامل في المختبرات التي يقومون بإنشائها. تعرف على المزيد حول دور منشئ المختبر.
إدارة المختبر المساهم في المختبر منح الإذن للمساعدة في إدارة مختبر موجود، ولكن ليس إنشاء مختبرات جديدة. تعرف على المزيد حول دور المساهم في المختبر.
إدارة المختبر معمل مساعد منح الإذن لعرض معمل موجود. يمكن أيضا بدء تشغيل أي جهاز ظاهري أو إيقافه أو إعادة تعيينه في المختبر. تعرف على المزيد حول دور Lab Assistant.
إدارة المختبر قارئ خدمات المختبر منح الإذن لعرض المختبرات الموجودة. تعرف على المزيد حول دور قارئ خدمات المختبر.

نطاق تعيين الدور

في Azure RBAC، النطاق هو مجموعة الموارد التي ينطبق عليها الوصول. عند تعيين دور، من المهم فهم النطاق بحيث تمنح فقط الوصول المطلوب.

في Azure، يمكنك تحديد نطاق على أربعة مستويات: مجموعة الإدارة والاشتراك ومجموعة الموارد والمورد. تُنظم النطاقات على أساس العلاقات الأصل-الفرعي. يجعل كل مستوى من التدرج الهرمي النطاق أكثر تحديدًا. يُمكنك تعيين أدوار على جميع مستويات النطاق. يقرر المستوى الذي تحدده مدى تطبيق الدور. ترث المستويات الأدنى الإعدادات من المستويات الأعلى. تعرف على المزيد حول نطاق Azure RBAC.

بالنسبة إلى Azure Lab Services، ضع في اعتبارك النطاقات التالية:

Scope ‏‏الوصف
الوصف يستخدم لإدارة الفوترة والأمان لجميع موارد وخدمات Azure. عادة ما يكون للمسؤولين فقط حق الوصول على مستوى الاشتراك لأن تعيين الدور هذا يمنح الوصول إلى جميع الموارد في الاشتراك.
مجموعة الموارد حاوية منطقية لتجميع الموارد معا. يمنح تعيين الدور لمجموعة الموارد الإذن لمجموعة الموارد وجميع الموارد داخلها، مثل المختبرات وخطط المختبرات.
خطة التمرين المعملي مورد Azure يستخدم لتطبيق إعدادات التكوين الشائعة عند إنشاء مختبر. يمنح تعيين الدور لخطة المختبر الإذن لخطة مختبر معينة فقط.
التمرين المعملي مورد Azure يستخدم لتطبيق إعدادات التكوين الشائعة لإنشاء الأجهزة الظاهرية للمختبر وتشغيلها. يمنح تعيين الدور للمختبر الإذن لمختبر معين فقط.

Diagram that shows the role assignment scopes for Azure Lab Services.

هام

في Azure Lab Services، تعد خطط المختبرات والمختبرات موارد مشابهة لبعضها البعض. ونتيجة لذلك، لا ترث المختبرات أي تعيينات أدوار من خطة المختبر. ومع ذلك، يتم توريث تعيينات الأدوار من مجموعة الموارد بواسطة خطط المختبر والمختبرات في مجموعة الموارد هذه.

أدوار الأنشطة المعملية الشائعة

يعرض الجدول التالي أنشطة المختبر الشائعة والدور المطلوب للمستخدم لتنفيذ هذا النشاط.

النشاط نوع الدور الدور Scope
منح الإذن لإنشاء مجموعة موارد. مجموعة الموارد هي حاوية منطقية في Azure للاحتفاظ بخطط المختبر والمختبرات. قبل أن تتمكن من إنشاء خطة مختبر أو معمل، يجب أن تكون مجموعة الموارد هذه موجودة. المسؤول المالك أو المساهم الوصف
امنح الإذن لإرسال تذكرة دعم Microsoft، بما في ذلك طلب السعة. المسؤول المالك والمساهم والمساهم في طلب الدعم الوصف
منح الإذن ل:
- تعيين أدوار للمستخدمين الآخرين.
- إنشاء/إدارة خطط المختبرات والمختبرات والموارد الأخرى داخل مجموعة الموارد.
- تمكين/تعطيل السوق والصور المخصصة على خطة المختبر.
- إرفاق/فصل معرض الحوسبة على خطة مختبر.		 المسؤول المالك مجموعة الموارد
منح الإذن ل:
- إنشاء/إدارة خطط المختبرات والمختبرات والموارد الأخرى داخل مجموعة الموارد.
- تمكين أو تعطيل Azure Marketplace والصور المخصصة على خطة مختبر.

ومع ذلك، ليس القدرة على تعيين أدوار للمستخدمين الآخرين.		 المسؤول المساهم مجموعة الموارد
امنح الإذن لإنشاء أو إدارة مختبراتك الخاصة لجميع خطط المختبر داخل مجموعة موارد. إدارة المختبر منشئ المختبر مجموعة الموارد
امنح الإذن لإنشاء مختبراتك الخاصة أو إدارتها لخطة مختبر محددة. إدارة المختبر منشئ المختبر خطة التمرين المعملي
امنح الإذن للمشاركة في إدارة مختبر، ولكن ليس القدرة على إنشاء مختبرات. إدارة المختبر المساهم في المختبر التمرين المعملي
منح الإذن لبدء/إيقاف/إعادة تعيين الأجهزة الظاهرية فقط لجميع المختبرات داخل مجموعة موارد. إدارة المختبر معمل مساعد مجموعة الموارد
منح الإذن لبدء/إيقاف/إعادة تعيين الأجهزة الظاهرية لمختبر معين فقط. إدارة المختبر معمل مساعد التمرين المعملي

هام

يتم استخدام اشتراك المؤسسة لإدارة الفوترة والأمان لجميع موارد وخدمات Azure. يمكنك تعيين دور المالك أو المساهم في الاشتراك. عادة ما يكون للمسؤولين فقط حق الوصول على مستوى الاشتراك لأن هذا يتضمن الوصول الكامل إلى جميع الموارد في الاشتراك.

أدوار المسؤول

لمنح المستخدمين الإذن لإدارة Azure Lab Services ضمن اشتراك مؤسستك، يجب عليك تعيين دور المالك أو المساهم أو المساهم في خدمات المختبر.

تعيين هذه الأدوار على مجموعة الموارد. ترث خطط المختبر والمختبرات داخل مجموعة الموارد تعيينات الأدوار هذه.

Diagram that shows the resource hierarchy and the three administrator roles, assigned to the resource group.

يقارن الجدول التالي أدوار المسؤول المختلفة عند تعيينها في مجموعة الموارد.

خطة/معمل معمل النشاط المالك المساهم مساهم خدمات المختبر
خطة التمرين المعملي عرض جميع خطط المختبر داخل مجموعة الموارد ‏‏نعم‬ ‏‏نعم ‏‏نعم‬
خطة التمرين المعملي إنشاء كافة خطط المختبر أو تغييرها أو حذفها داخل مجموعة الموارد ‏‏نعم‬ ‏‏نعم ‏‏نعم‬
خطة التمرين المعملي تعيين أدوار لخطط المختبر داخل مجموعة الموارد ‏‏نعم‬ لا لا
التمرين المعملي إنشاء مختبرات داخل مجموعة الموارد** ‏‏نعم‬ ‏‏نعم ‏‏نعم‬
التمرين المعملي عرض مختبرات المستخدمين الآخرين ضمن مجموعة الموارد ‏‏نعم‬ ‏‏نعم ‏‏نعم‬
التمرين المعملي تغيير مختبرات المستخدمين الآخرين أو حذفها داخل مجموعة الموارد ‏‏نعم‬ نعم لا
التمرين المعملي تعيين أدوار لمختبرات المستخدمين الآخرين ضمن مجموعة الموارد ‏‏نعم‬ لا لا

** يتم منح المستخدمين تلقائيا الإذن لعرض الأدوار التي يقومون بإنشائها وتغيير الإعدادات وحذفها وتعيينها للمختبرات التي يقومون بإنشائها.

دور المالك

قم بتعيين دور المالك لمنح المستخدم التحكم الكامل لإنشاء خطط مختبرات ومختبرات أو إدارتها، ومنح أذونات للمستخدمين الآخرين. عندما يكون لدى المستخدم دور المالك في مجموعة الموارد، يمكنه القيام بالأنشطة التالية عبر جميع الموارد داخل مجموعة الموارد:

  • تعيين أدوار للمسؤولين، حتى يتمكنوا من إدارة الموارد المتعلقة بالمختبر.
  • تعيين أدوار لمديري المختبرات، حتى يتمكنوا من إنشاء المعامل وإدارتها.
  • إنشاء خطط مختبرات ومختبرات.
  • عرض الإعدادات وحذفها وتغييرها لجميع خطط المختبر، بما في ذلك إرفاق معرض الحوسبة أو فصله وتمكين أو تعطيل Azure Marketplace والصور المخصصة في خطط المختبر.
  • عرض الإعدادات وحذفها وتغييرها لجميع المختبرات.

تنبيه

عند تعيين دور المالك أو المساهم في مجموعة الموارد، تنطبق هذه الأذونات أيضا على الموارد غير المرتبطة بالمختبر الموجودة في مجموعة الموارد. على سبيل المثال، موارد مثل الشبكات الظاهرية وحسابات التخزين ومعارض الحوسبة والمزيد.

دور المساهم

قم بتعيين دور المساهم لمنح المستخدم التحكم الكامل لإنشاء خطط مختبرات ومختبرات أو إدارتها داخل مجموعة موارد. دور المساهم له نفس الأذونات مثل دور المالك، باستثناء :

  • تنفيذ تعيينات الأدوار

دور المساهم في خدمات المختبر

المساهم في خدمات المختبر هو الأكثر تقييدا لأدوار المسؤول. تعيين دور المساهم في خدمات المختبر لتمكين نفس الأنشطة مثل دور المالك، باستثناء :

  • تنفيذ تعيينات الأدوار
  • تغيير مختبرات المستخدمين الآخرين أو حذفها

إشعار

لا يسمح دور مساهم خدمات المختبر بإجراء تغييرات على الموارد غير المرتبطة بخدمات Azure Lab Services. من ناحية أخرى، يسمح دور المساهم بإجراء تغييرات على جميع موارد Azure داخل مجموعة الموارد.

أدوار إدارة المختبر

استخدم الأدوار التالية لمنح المستخدمين أذونات لإنشاء المختبرات وإدارتها:

  • منشئ المختبر
  • المساهم في المختبر
  • معمل مساعد
  • قارئ خدمات المختبر

تمنح أدوار إدارة المختبر هذه الإذن فقط لعرض خطط المختبر. لا تسمح هذه الأدوار بإنشاء الأدوار أو تغييرها أو حذفها أو تعيينها لخطط المختبر. بالإضافة إلى ذلك، لا يمكن للمستخدمين الذين لديهم هذه الأدوار إرفاق معرض حساب أو فصله وتمكين صور الجهاز الظاهري أو تعطيلها.

دور منشئ المختبر

قم بتعيين دور منشئ المختبر لمنح المستخدم إذنا لإنشاء مختبرات والتحكم الكامل في المختبرات التي يقومون بإنشائها. على سبيل المثال، يمكنهم تغيير إعدادات مختبراتهم، وحذف مختبراتهم، وحتى منح المستخدمين الآخرين الإذن لمختبراتهم.

تعيين دور منشئ المختبر إما على مجموعة الموارد أو خطة المختبر.

Diagram that shows the resource hierarchy and the Lab Creator role, assigned to the resource group and lab plan.

يقارن الجدول التالي تعيين دور منشئ المختبر لمجموعة الموارد أو خطة المختبر.

النشاط مجموعة الموارد خطة التمرين المعملي
إنشاء مختبرات داخل مجموعة الموارد** ‏‏نعم‬ ‏‏نعم‬
عرض المختبرات التي أنشأوها ‏‏نعم‬ ‏‏نعم‬
عرض مختبرات المستخدمين الآخرين ضمن مجموعة الموارد ‏‏نعم‬ لا
تغيير المختبرات التي أنشأها المستخدم أو حذفها ‏‏نعم‬ ‏‏نعم‬
تغيير مختبرات المستخدمين الآخرين أو حذفها داخل مجموعة الموارد لا لا
تعيين أدوار لمختبرات المستخدمين الآخرين ضمن مجموعة الموارد لا لا

** يتم منح المستخدمين تلقائيا الإذن لعرض الأدوار التي يقومون بإنشائها وتغيير الإعدادات وحذفها وتعيينها للمختبرات التي يقومون بإنشائها.

دور المساهم في المختبر

تعيين دور المساهم في المختبر لمنح المستخدم إذنا للمساعدة في إدارة معمل موجود.

تعيين دور "مساهم المختبر" في المختبر.

Diagram that shows the resource hierarchy and the Lab Contributor role, assigned to the lab.

عند تعيين دور Lab Contributor على المختبر، يمكن للمستخدم إدارة المختبر المعين. على وجه التحديد، المستخدم:

  • يمكنه عرض كافة الإعدادات أو تغييرها أو حذف المختبر المعين.
  • لا يمكن للمستخدم عرض مختبرات المستخدمين الآخرين.
  • لا يمكن إنشاء مختبرات جديدة.

دور مساعد المختبر

قم بتعيين دور "مساعد المختبر" لمنح المستخدم إذنا لعرض مختبر، وبدء تشغيل الأجهزة الظاهرية للمختبر وإيقافها وإعادة تعيينها للمختبر.

تعيين دور "مساعد المختبر" على مجموعة الموارد أو المختبر.

Diagram that shows the resource hierarchy and the Lab Assistant role, assigned to the resource group and lab.

عند تعيين دور Lab Assistant على مجموعة الموارد، المستخدم:

  • يمكنه عرض جميع المختبرات داخل مجموعة الموارد وبدء تشغيل الأجهزة الظاهرية للمختبر أو إيقافها أو إعادة تعيينها لكل مختبر.
  • لا يمكن حذف أو إجراء أي تغييرات أخرى على المختبرات.

عند تعيين دور Lab Assistant على المختبر، المستخدم:

  • يمكنه عرض المختبر المعين وبدء تشغيل الأجهزة الظاهرية للمختبر أو إيقافها أو إعادة تعيينها.
  • لا يمكن حذف أو إجراء أي تغييرات أخرى على المختبر.
  • لا يمكن إنشاء مختبرات جديدة.

عندما يكون لديك دور مساعد المختبر، لعرض المختبرات الأخرى التي يتم منحك حق الوصول إليها، تأكد من اختيار عامل تصفية جميع المختبرات في موقع Azure Lab Services على الويب.

دور قارئ خدمات المختبر

تعيين دور قارئ خدمات المختبر لمنح مستخدم إذن عرض المختبرات الموجودة. لا يمكن للمستخدم إجراء أي تغييرات على المختبرات الموجودة.

تعيين دور قارئ خدمات المختبر على مجموعة الموارد أو المختبر.

Diagram that shows the resource hierarchy and the Lab Services Reader role, assigned to the resource group and lab.

عند تعيين دور قارئ خدمات المختبر على مجموعة الموارد، يمكن للمستخدم:

  • عرض كافة المختبرات داخل مجموعة الموارد.

عند تعيين دور قارئ خدمات المختبر على المختبر، يمكن للمستخدم:

  • عرض المختبر المحدد فقط.

إدارة الوصول والهوية (IAM)

يتم استخدام صفحة التحكم في الوصول (IAM) في مدخل Microsoft Azure لتكوين التحكم في الوصول المستند إلى دور Azure على موارد Azure Lab Services. يمكنك استخدام الأدوار المضمنة للأفراد والمجموعات في Active Directory. تظهر لقطة الشاشة التالية تكامل خدمات مجال Active Directory (Azure RBAC) باستخدام التحكم في الوصول (IAM) في مدخل Microsoft Azure:

Screenshot that shows the Access Control page in the Azure portal to manage role assignments.

للحصول على خطوات تفصيلية، راجع تعيين أدوار Azure باستخدام مدخل Azure.

مجموعة الموارد وبنية خطة المختبر

يجب على مؤسستك استثمار الوقت مقدما لتخطيط بنية مجموعات الموارد وخطط المختبر. هذا مهم بشكل خاص عند تعيين أدوار على مجموعة الموارد لأنه يطبق أيضا الأذونات على جميع الموارد في مجموعة الموارد.

للتأكد من منح المستخدمين الإذن فقط للموارد المناسبة:

  • إنشاء مجموعات موارد تحتوي فقط على موارد متعلقة بالمختبر.

  • تنظيم خطط المختبرات والمختبرات في مجموعات موارد منفصلة وفقا للمستخدمين الذين يجب أن يكون لديهم حق الوصول.

على سبيل المثال، يمكنك إنشاء مجموعات موارد منفصلة لأقسام مختلفة لعزل موارد مختبر كل قسم. يمكن بعد ذلك منح منشئي المختبرات في قسم واحد أذونات على مجموعة الموارد، والتي تمنحهم فقط حق الوصول إلى موارد المختبر لقسمهم.

هام

تخطيط بنية مجموعة الموارد وخطة المختبر مقدما لأنه لا يمكن نقل خطط المختبر أو المختبرات إلى مجموعة موارد مختلفة بعد إنشائها.

الوصول إلى مجموعات موارد متعددة

يمكنك منح المستخدمين حق الوصول إلى مجموعات موارد متعددة. في موقع Azure Lab Services على الويب، يمكن للمستخدم بعد ذلك الاختيار من قائمة مجموعات الموارد لعرض مختبراته.

Screenshot that shows how to choose between resource groups in the Azure Lab Services website.

الوصول إلى خطط مختبر متعددة

يمكنك منح المستخدمين حق الوصول إلى خطط مختبر متعددة. على سبيل المثال، عند تعيين دور منشئ المختبر لمستخدم في مجموعة موارد تحتوي على أكثر من خطة مختبر واحدة. يمكن للمستخدم بعد ذلك الاختيار من قائمة خطط المختبر عند إنشاء مختبر جديد.

Screenshot that shows how to choose between lab plans when creating a lab in the Azure Lab Services website.

الخطوات التالية