你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 实验室服务培训的组织角色概念
本文介绍使用 Azure 实验室服务来开展课程的不同功能和步骤。 Azure 实验室服务为教育工作者(例如教师、教授、培训专家、培训师和助教)提供支持。 教育工作者可以快速轻松地创建联机实验室,以便为学员预配出提前配置好的学习环境。
每个学员都可以使用相同且独立的训练环境。 教育工作者可以应用策略来确保每个学员仅在需要时才可以使用培训环境。 环境包含培训所需的足够资源(例如虚拟机)。
将组织角色映射到权限
实验室满足在任意虚拟环境中进行培训的以下要求:
- 学员可快速设置其培训环境
- 每台培训计算机都是相同的
- 学员无法看到由其他学员创建的 VM
- 你可以通过确保学员无法获取多于培训所需的 VM 和在不使用时关闭 VM 来控制成本
- 你可以轻松地与每个学员共享培训实验室
- 你可以反复重新使用培训实验室
Azure 实验室服务使用 Azure 基于角色的访问控制 (Azure RBAC) 来管理对 Azure 实验室服务的访问。 有关详细信息,请参阅 Azure 实验室服务内置角色。 使用 Azure RBAC,你可以清楚地区分角色和职责,以便跨组织中的不同团队和人员创建和管理实验室。
根据你的组织结构、职责和技能水平,可能有不同的选项将这些权限映射到你的角色(例如管理员或教育工作者)。 这些方案和图表还包括学生,目的是展示其在流程中的位置,尽管其不需要 Microsoft Entra 权限。
以下部分提供了在组织中分配权限的不同示例。 使用 Azure 实验室服务,你能够灵活分配这些典型方案之外的权限,使之与组织设置匹配。
方案 1:在 IT 部门和教育工作者之间进行职责划分
在此方案中,IT 部门、服务提供商或管理员管理 Azure 订阅。 他们负责创建 Azure 实验室服务实验室计划。 接下来,他们会向相关人员授予在实验室计划中创建实验室的权限。 教育工作者会邀请学生注册并连接到实验室 VM。
在组织中,你可以进一步跨团队划分管理员活动。 例如,一个团队可能负责配置高级网络的虚拟网络(中央 IT)。 实验室计划和其他 Azure 资源的创建可能由另一个团队负责(部门 IT)。
以管理员身份开始使用快速入门:设置用于创建实验室的资源。
以教育工作者身份开始使用教程:为课堂培训设置实验室。
下表显示了组织角色到 Microsoft Entra 角色的对应映射:
| 组织角色 | Microsoft Entra 角色 | 说明 |
|---|---|---|
| 管理员 | - 订阅所有者 - 订阅参与者 |
在 Azure 门户中创建实验室计划。 |
| 教师 | 实验室创建者 | 创建并管理其创建的实验室。 |
| 实验室参与者 | (可选)在资源组级别进行分配时,分配给教育工作者来创建并管理所有实验室。 | |
| 实验室助理 | (可选)分配给其他教育工作者来帮助支持实验室学生。 他们可能会对实验室 VM 执行重置映像、启动、停止和连接操作。 | |
| 学生 | 学生不需要 Microsoft Entra 角色。 教育工作者在实验室配置中授予学生访问权限。 学生在使用 Teams 或 Canvas 时会自动获得访问权限。 | |
| 其他 | 实验室服务读取者 | (可选)提供查看所有实验室计划和实验室所需的访问权限(无权进行修改)。 |
方案 2:IT 部门负责整个实验室创建流程
在此方案中,IT 部门(管理员)创建 Azure 实验室服务实验室计划和实验室。 (可选)管理员授予教育工作者管理实验室用户和配置实验室设置(例如配额和计划)的权限。 当教育工作者无法(或不想)设置和自定义实验室时,此方案可能会很有用。
正如方案 1 所述,创建实验室计划的管理员任务也可能会分散到各个管理员团队中。
以管理员身份开始使用快速入门:创建并连接到实验室。
以教育工作者身份开始,将学生添加到实验室,或创建实验室计划。
下表显示了组织角色到 Microsoft Entra 角色的对应映射:
| 组织角色 | Microsoft Entra 角色 | 说明 |
|---|---|---|
| 管理员 | - 订阅所有者 - 订阅参与者 |
在 Azure 门户中创建实验室计划。 |
| 教师 | - 实验室助手 | (可选)分配给其他教育工作者来帮助支持实验室学生。 他们可能会对实验室 VM 执行重置映像、启动、停止和连接操作。 |
| 学生 | 学生不需要 Microsoft Entra 角色。 教育工作者在实验室配置中授予学生访问权限。 学生在使用 Teams 或 Canvas 时会自动获得访问权限。 | |
| 其他 | 实验室服务读取者 | (可选)提供查看所有实验室计划和实验室所需的访问权限(无权进行修改)。 |
方案 3:教育工作者负责整个实验室创建流程
在此方案中,教育工作者管理其 Azure 订阅,并管理创建 Azure 实验室服务实验室计划和实验室的整个流程。 在教育工作者熟悉创建 Azure 资源以及熟悉创建和自定义实验室的情况下,此方案可能会很有用。
以管理员身份开始使用快速入门:创建并连接到实验室,然后将学生添加到实验室,并创建实验室计划。
下表显示了组织角色到 Microsoft Entra 角色的对应映射:
| 组织角色 | Microsoft Entra 角色 | 说明 |
|---|---|---|
| 教师 | - 订阅所有者 - 订阅参与者 |
在 Azure 门户中创建实验室计划。 作为所有者,你还可以全权管理所有实验室。 |
| 实验室助理 | (可选)分配给其他教育工作者来帮助支持实验室学生。 他们可能会对实验室 VM 执行重置映像、启动、停止和连接操作。 | |
| 学生 | 学生不需要 Microsoft Entra 角色。 教育工作者在实验室配置中授予学生访问权限。 学生在使用 Teams 或 Canvas 时会自动获得访问权限。 | |
| 其他 | 实验室服务读取者 | (可选)提供查看所有实验室计划和实验室所需的访问权限(无权进行修改)。 |
相关内容
- 详细了解如何设置示例类类型。
- 请按照为课堂培训设置实验室教程中的步骤开始操作。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈