Controle de acesso baseado em função do Azure no Azure Lab Services
Importante
O Azure Lab Services será desativado em 28 de junho de 2027. Para obter mais informações, confira o guia de desativação.
O Azure Lab Services fornece o controle de acesso baseado em função interno do Azure (RBAC do Azure) para cenários comuns de gerenciamento no Azure Lab Services. Um indivíduo com um perfil no Microsoft Entra ID pode atribuir essas funções do Azure a usuários, grupos, entidades de serviço ou identidades gerenciadas para conceder ou negar acesso a recursos e operações em recursos do Azure Lab Services. Este artigo descreve as diferentes funções internas compatíveis com o Azure Lab Services.
O RBAC (controle de acesso baseado em função do Azure) é um sistema de autorização desenvolvido no Azure Resource Manager que fornece gerenciamento de acesso refinado dos recursos do Azure.
O RBAC do Azure especifica definições de função internas que descrevem as permissões a serem aplicadas. Você atribui um usuário ou agrupa essa definição de função por meio de uma atribuição de função para um escopo específico. O escopo pode ser um recurso individual, um grupo de recursos ou por toda a assinatura. Na próxima seção, você aprenderá a quais funções internas o Azure Lab Services dá suporte.
Para saber mais, confira O que é o Azure o RBAC (controle de acesso baseado em função do Azure)?
Observação
Quando você faz alterações na atribuição de função, pode levar alguns minutos para que essas atualizações sejam propagadas.
Funções internas
Neste artigo, as funções internas do Azure são agrupadas logicamente em dois tipos de função, com base em seu escopo de influência:
- Funções de administrador: influenciar permissões para laboratórios e planos de laboratório
- Funções de gerenciamento de laboratório: influenciar permissões para laboratórios
Veja a seguir as funções internas compatíveis com o Azure Lab Services:
| Tipo de função | Função interna | Descrição |
|---|---|---|
| Administrador | Proprietário | Conceder controle total para criar/gerenciar laboratórios e planos de laboratório e conceder permissões a outros usuários. Saiba mais sobre a função Proprietário. |
| Administrador | Colaborador | Conceder controle total para criar/gerenciar laboratórios e planos de laboratório, exceto para atribuir funções a outros usuários. Saiba mais sobre a função Colaborador. |
| Administrador | Colaborador do Lab Services | Conceder as mesmas permissões que a função Proprietário, exceto para atribuir funções. Saiba mais sobre a função Colaborador do Lab Services. |
| Gerenciamento de laboratório | Criador de laboratório | Conceder permissão para criar laboratórios e ter controle total sobre os laboratórios que eles criam. Saiba mais sobre a função Criador do Laboratório. |
| Gerenciamento de laboratório | Colaborador de Laboratório | Conceder permissão para ajudar a gerenciar um laboratório existente, mas não criar novos laboratórios. Saiba mais sobre a função Colaborador do Laboratório. |
| Gerenciamento de laboratório | Assistente de Laboratório | Conceder permissão para exibir um laboratório existente. Também é possível iniciar, interromper ou recriar a imagem de qualquer VM no laboratório. Saiba mais sobre a função Assistente do Laboratório. |
| Gerenciamento de laboratório | Leitor do Lab Services | Conceder permissão para exibir laboratórios existentes. Saiba mais sobre a função Leitor do Lab Services. |
Escopo da atribuição de função
No RBAC do Azure, o escopo é o conjunto de recursos aos quais o acesso se aplica. Quando você atribui uma função, é importante entender o escopo para que você conceda apenas o acesso necessário.
No Azure, você pode especificar um escopo em quatro níveis: grupo de gerenciamento, assinatura, grupo de recursos e recurso. Os escopos são estruturados em uma relação pai-filho. Cada nível de hierarquia torna o escopo mais específico. Você pode atribuir funções em qualquer um desses níveis de escopo. O nível que você seleciona determina o quão amplamente a função é aplicada. Os níveis inferiores herdam as permissões de função de níveis superiores. Saiba mais sobre o escopo do RBAC do Azure.
Para o Azure Lab Services, considere os seguintes escopos:
| Escopo | Descrição |
|---|---|
| Assinatura | Usado para gerenciar a cobrança e a segurança de todos os recursos e serviços do Azure. Normalmente, somente os administradores têm acesso em nível de assinatura porque esta atribuição de função concede acesso a todos os recursos na assinatura. |
| Grupo de recursos | Um contêiner lógico para agrupar recursos. A atribuição de função para o grupo de recursos concede permissão ao grupo de recursos e a todos os recursos dentro dele, como laboratórios e planos de laboratório. |
| Plano de laboratório | Um recurso do Azure usado para aplicar configurações comuns ao criar um laboratório. A atribuição de função para o plano de laboratório concede permissão apenas a um plano de laboratório específico. |
| Laboratório | Um recurso do Azure usado para aplicar configurações comuns para criar e executar máquinas virtuais de laboratório. A atribuição de função para o laboratório concede permissão apenas a um laboratório específico. |
Importante
No Azure Lab Services, os planos de laboratório e os laboratórios são recursos irmãos uns dos outros. Como resultado, os laboratórios não herdam nenhuma atribuição de função do plano de laboratório. No entanto, as atribuições de função do grupo de recursos são herdadas por planos de laboratório e laboratórios nesse grupo de recursos.
Funções para atividades comuns de laboratório
A tabela a seguir mostra atividades comuns de laboratório e as funções necessárias para que um usuário as execute.
| Atividade | Tipo de função | Função | Escopo |
|---|---|---|---|
| Conceder permissão para criar um grupo de recursos. Um grupo de recursos é um contêiner lógico no Azure para manter os laboratórios e os planos de laboratório. Antes de criar um laboratório ou um plano de laboratório, o grupo de recursos precisa existir. | Administrador | Proprietário ou Colaborador | Assinatura |
| Conceda permissão para enviar um tíquete de suporte da Microsoft, inclusive para solicitar capacidade. | Administrador | Proprietário, Colaborador, Colaborador de Solicitação de Suporte | Assinatura |
| Conceda permissão para: – Atribuir funções a outros usuários. – Criar/gerenciar planos de laboratório, laboratórios e outros recursos dentro do grupo de recursos. – Habilitar/desabilitar o marketplace e as imagens personalizadas em um plano de laboratório. – Anexar/desanexar a galeria de computação em um plano de laboratório. |
Administrador | Proprietário | Grupo de recursos |
| Conceda permissão para: – Criar/gerenciar planos de laboratório, laboratórios e outros recursos dentro do grupo de recursos. – Habilitar ou desabilitar o Azure Marketplace e imagens personalizadas em um plano de laboratório. No entanto, não a capacidade de atribuir funções a outros usuários. |
Administrador | Colaborador | Grupo de recursos |
| Conceda permissão para criar ou gerenciar seus próprios laboratórios para todos os planos de laboratório em um grupo de recursos. | Gerenciamento de laboratório | Criador de laboratório | Grupo de recursos |
| Conceder permissão para criar ou gerenciar seus próprios laboratórios para um plano de laboratório específico. | Gerenciamento de laboratório | Criador de laboratório | Plano de laboratório |
| Conceda permissão para cogerenciar um laboratório, mas não a capacidade de criar laboratórios. | Gerenciamento de laboratório | Colaborador de Laboratório | Laboratório |
| Conceda permissão apenas para iniciar/parar/recriar a imagem de VMs para todos os laboratórios em um grupo de recursos. | Gerenciamento de laboratório | Assistente de Laboratório | Grupo de recursos |
| Conceder permissão apenas para iniciar/parar/recriar a imagem de VMs para um laboratório específico. | Gerenciamento de laboratório | Assistente de Laboratório | Laboratório |
Importante
A assinatura de uma organização é usada para gerenciar a cobrança e a segurança de todos os recursos e serviços do Azure. Você pode atribuir a função Proprietário ou Colaborador na assinatura. Normalmente, somente os administradores têm acesso no nível da assinatura porque isso inclui acesso total a todos os recursos na assinatura.
Funções de administrador
Para conceder aos usuários permissão para gerenciar o Azure Lab Services na assinatura da sua organização, você deve atribuir a eles a função Proprietário, Colaborador ou Colaborador do Lab Services.
Atribua essas funções no grupo de recursos. Os planos de laboratório e os laboratórios dentro do grupo de recursos herdam essas atribuições de função.
A tabela a seguir compara as diferentes funções de administrador quando elas são atribuídas no grupo de recursos.
| Plano de laboratório/laboratório | Atividade | Proprietário | Colaborador | Colaborador do Lab Services |
|---|---|---|---|---|
| Plano de laboratório | Exibir todos os planos de laboratório dentro do grupo de recursos | Sim | Sim | Sim |
| Plano de laboratório | Criar, alterar ou excluir todos os planos de laboratório dentro do grupo de recursos | Sim | Sim | Sim |
| Plano de laboratório | Atribuir funções a planos de laboratório dentro do grupo de recursos | Sim | Não | No |
| Laboratório | Criar laboratórios dentro do grupo de recursos** | Sim | Sim | Sim |
| Laboratório | Exibir laboratórios de outros usuários no grupo de recursos | Sim | Sim | Sim |
| Laboratório | Alterar ou excluir laboratórios de outros usuários no grupo de recursos | Sim | Sim | No |
| Laboratório | Atribuir funções aos laboratórios de outros usuários no grupo de recursos | Sim | Não | No |
** Os usuários recebem permissão automaticamente para exibir, alterar configurações, excluir e atribuir funções para os laboratórios criados por eles.
Função Proprietário
Atribuir a função Proprietário para dar a um usuário controle total para criar ou gerenciar planos de laboratório e laboratórios e conceder permissões a outros usuários. Quando um usuário tem a função Proprietário no grupo de recursos, ele pode realizar as seguintes atividades em todos os recursos dentro do grupo de recursos:
- Atribuir funções aos administradores para que eles possam gerenciar recursos relacionados ao laboratório.
- Atribuir funções aos gerentes de laboratório para que eles possam criar e gerenciar laboratórios.
- Criar planos de laboratório e laboratórios.
- Exibir, excluir e alterar as configurações de todos os planos de laboratório, incluindo anexar ou desanexar a galeria de computação e habilitar ou desabilitar o Azure Marketplace e imagens personalizadas em planos de laboratório.
- Exibir, excluir e alterar as configurações de todos os laboratórios.
Cuidado
Quando você atribui a função Proprietário ou Colaborador no grupo de recursos, essas permissões também se aplicam a recursos não relacionados ao laboratório que existem no grupo de recursos. Por exemplo, recursos como redes virtuais, contas de armazenamento, galerias de computação e muito mais.
Função Parceiro
Atribuir a função colaborador para dar a um usuário controle total para criar ou gerenciar planos de laboratório e laboratórios em um grupo de recursos. A função Colaborador tem as mesmas permissões que a função Proprietário, exceto para:
- Executar atribuições de função
Função Colaborador do Lab Services
Colaborador do Lab Services é a mais restritiva das funções de administrador. Atribua a função Colaborador do Lab Services para habilitar as mesmas atividades que a função Proprietário, exceto para:
- Executar atribuições de função
- Alterar ou excluir laboratórios de outros usuários
Observação
A função Colaborador do Lab Services não permite alterações nos recursos que não estão relacionados ao Azure Lab Services. Por outro lado, a função Colaborador permite alterações em todos os recursos do Azure dentro do grupo de recursos.
Funções de gerenciamento de laboratório
Use as seguintes funções para conceder aos usuários permissões para criar e gerenciar laboratórios:
- Criador de laboratório
- Colaborador de Laboratório
- Assistente de Laboratório
- Leitor do Lab Services
Essas funções de gerenciamento de laboratório só concedem permissão para exibir planos de laboratório. Essas funções não permitem criar, alterar, excluir ou atribuir funções a planos de laboratório. Além disso, os usuários com essas funções não podem anexar ou desanexar uma galeria de computação e habilitar ou desabilitar imagens de máquina virtual.
Função Criador de Laboratório
Atribua a função Criador de Laboratório para conceder a um usuário permissão para criar laboratórios e ter controle total sobre os laboratórios que eles criam. Por exemplo, eles podem alterar as configurações de seus laboratórios, excluir seus laboratórios e até mesmo conceder permissão a outros usuários para os seus laboratórios.
Atribua a função Criador do Laboratório no grupo de recursos ou no plano de laboratório.
A tabela a seguir compara a atribuição de função do Criador de Laboratório para o grupo de recursos ou o plano de laboratório.
| Atividade | Grupo de recursos | Plano de laboratório |
|---|---|---|
| Criar laboratórios dentro do grupo de recursos** | Sim | Sim |
| Exibir laboratórios criados por eles | Sim | Sim |
| Exibir laboratórios de outros usuários no grupo de recursos | Sim | No |
| Alterar ou excluir laboratórios criados pelo usuário | Sim | Sim |
| Alterar ou excluir laboratórios de outros usuários no grupo de recursos | Não | No |
| Atribuir funções aos laboratórios de outros usuários no grupo de recursos | Não | No |
** Os usuários recebem permissão automaticamente para exibir, alterar configurações, excluir e atribuir funções para os laboratórios criados por eles.
Função Colaborador do Laboratório
Atribua a função Colaborador do Laboratório para conceder a um usuário permissão para ajudar a gerenciar um laboratório existente.
Atribua a função Colaborador do Laboratório no laboratório.
Quando você atribui a função Colaborador do Laboratório no laboratório, o usuário pode gerenciar o laboratório atribuído. Especificamente, o usuário:
- Pode exibir e alterar todas as configurações do laboratório atribuído ou excluí-lo.
- O usuário não pode exibir os laboratórios de outros usuários.
- Não é possível criar novos laboratórios.
Função Assistente do Laboratório
Atribua a função Assistente do Laboratório para conceder a um usuário permissão para exibir um laboratório e iniciar, interromper e recriar a imagem das máquinas virtuais do laboratório.
Atribua a função Assistente do Laboratório no grupo de recursos ou laboratório.
Quando você atribui a função Assistente do Laboratório no grupo de recursos, o usuário:
- Pode exibir todos os laboratórios dentro do grupo de recursos e iniciar, interromper ou recriar imagens de máquinas virtuais de laboratório para cada laboratório.
- Não é possível excluir ou fazer outras alterações nos laboratórios.
Ao atribuir a função Assistente do Laboratório no laboratório, o usuário:
- Pode exibir o laboratório atribuído e iniciar, interromper ou recriar a imagem das máquinas virtuais do laboratório.
- Não é possível excluir ou fazer outras alterações no laboratório.
- Não é possível criar novos laboratórios.
Quando você tiver a função Assistente do Laboratório, para exibir outros laboratórios aos quais você tem acesso, escolha o filtro Todos os laboratórios no site do Azure Lab Services.
Função Leitor do Lab Services
Atribua a função Leitor do Lab Services para conceder a uma exibição de permissão de usuário os laboratórios existentes. O usuário não pode fazer alterações em laboratórios existentes.
Atribua a função Leitor do Lab Services no grupo de recursos ou laboratório.
Quando você atribui a função Leitor do Lab Services no grupo de recursos, o usuário pode:
- Exibir todos os laboratórios dentro do grupo de recursos.
Quando você atribui a função Leitor do Lab Services no laboratório, o usuário pode:
- Exibir apenas o laboratório específico.
IAM (gerenciamento de identidade e acesso)
A página Controle de acesso (IAM) no portal do Azure é usada para configurar o controle de acesso baseado em função do Azure nos recursos do Azure Lab Services. Você pode usar funções internas para indivíduos e grupos no Active Directory. A seguinte captura de tela mostra a integração com o Active Directory (RBAC do Azure) usando o controle de acesso (IAM) no portal do Azure:
Para ver as etapas detalhadas, confira Atribuir funções do Azure usando o portal do Azure.
Estrutura do grupo de recursos e do plano de laboratório
Sua organização deve investir tempo antecipadamente para planejar a estrutura de grupos de recursos e os planos de laboratório. Isso é especialmente importante quando você atribui funções no grupo de recursos porque ele também aplica permissões a todos os recursos no grupo de recursos.
Para garantir que os usuários só recebam permissão para os recursos apropriados:
Crie grupos de recursos que contenham apenas recursos relacionados ao laboratório.
Organize planos de laboratório e laboratórios em grupos de recursos separados de acordo com os usuários que devem ter acesso.
Por exemplo, você pode criar grupos de recursos separados para departamentos diferentes para isolar os recursos de laboratório de cada departamento. Os criadores de laboratório em um departamento podem receber permissões no grupo de recursos, o que lhes concede apenas acesso aos recursos de laboratório de seus departamentos.
Importante
Planeje o grupo de recursos e a estrutura do plano de laboratório antecipadamente porque não é possível mover planos de laboratório ou laboratórios para um grupo de recursos diferente depois que eles são criados.
Acesso a vários grupos de recursos
Você pode conceder aos usuários acesso a vários grupos de recursos. No site do Azure Lab Services, o usuário pode escolher na lista de grupos de recursos para exibir seus laboratórios.
Acesso a vários planos de laboratório
Você pode conceder aos usuários acesso a vários planos de laboratório. Por exemplo, quando você atribui a função Criador de Laboratório a um usuário em um grupo de recursos contendo mais de um plano de laboratório. Em seguida, o usuário pode escolher na lista de planos de laboratório ao criar um novo laboratório.
