配置对 Microsoft Dev Box 项目的访问

本文介绍如何向管理员和开发人员授予对 Microsoft Dev Box 项目的访问权限。 使用 Azure 基于角色的访问控制（Azure RBAC）在项目级别分配内置的 DevCenter 角色。

Dev Box 具有以下内置角色：

可以在开发人员中心中创建多个Microsoft Dev Box 项目，以符合每个团队的特定要求。 通过使用内置的 DevCenter 项目管理员角色，可以将项目管理委托给团队成员。 项目管理员可以使用在开发人员中心级别配置的网络连接和开发框定义在其项目中创建和管理开发框池。

团队成员必须有权访问特定的 Microsoft Dev Box 项目，然后才能创建开发框。 使用内置的 DevCenter Dev Box 用户角色将权限分配给 Active Directory 用户或组。 在 Microsoft Dev Box 中，您可以在项目级别分配角色。

先决条件

• 必须具有一个 Azure 帐户，该帐户有权在项目上创建角色分配。
• 你必须有一个开发人员中心和至少一个项目。

所需的权限

若要创建角色分配，需要有权在目标资源上创建角色分配。 具体而言：

• 所需的权限操作：

  • Microsoft.Authorization/roleAssignments/write
  • Microsoft.Authorization/roleAssignments/read （用于验证）
  • Microsoft.Authorization/roleDefinitions/read（列出可用角色）

• 建议使用包含这些操作的内置角色：

  • 所有者
  • 用户访问管理员

如果组织使用自定义角色，请确保该角色包括指定范围的 Microsoft.Authorization/roleAssignments/write。

分配 DevCenter 项目管理员角色

若要在 Microsoft Dev Box 中授予用户项目管理员权限，请在项目级别分配 DevCenter 项目管理员角色。

1. 登录到 Azure 门户。

2. 在搜索框中，输入 项目。 在结果列表中，选择“ 项目”。

3. 选择要授予团队成员访问权限的项目。

   

4. 在左侧，选择“访问控制”（IAM）。

   

5. 选择添加>添加角色分配。

6. 分配以下角色。 有关详细步骤，请参阅 使用 Azure 门户分配 Azure 角色。

   设置	价值
   Role	选择 DevCenter 项目管理员。
   将访问权限分配到	选择“用户、组或服务主体”。
   成员	选择需要对项目具有管理员访问权限的用户或组。

   

用户现在可以管理项目并在其中创建开发框池。

验证角色分配：在项目的访问控制（IAM）页上，确认新成员出现在 DevCenter 项目管理员角色中。

分配 DevCenter Dev Box 用户角色

若要授予用户在 Microsoft Dev Box 中创建和管理开发框的权限，请在项目级别分配 DevCenter Dev Box 用户角色。

1. 登录到 Azure 门户。

2. 在搜索框中，输入 项目。 在结果列表中，选择“ 项目”。

3. 选择要授予团队成员访问权限的项目。

   

4. 在左侧菜单中，选择“访问控制 (IAM)”。

5. 选择添加>添加角色分配。

6. 分配以下角色。 有关详细步骤，请参阅 使用 Azure 门户分配 Azure 角色。

   设置	价值
   Role	选择 DevCenter Dev Box 用户。
   将访问权限分配到	选择“用户、组或服务主体”。
   成员	选择要访问该项目的用户或组。

   

用户现在可以查看项目及其中的所有池。 开发盒用户可以从任何池创建开发盒，并通过 开发者门户来管理它们。

Troubleshooting

• 角色分配传播可能需要一分钟；请刷新门户网站，并稍等片刻再重试。
• 如果收到授权错误，请确认帐户在项目范围或父范围具有 Microsoft.Authorization/roleAssignments/write 权限。
• 如果用户在成功分配后看不到项目或池，请检查分配是否在正确的范围（项目与订阅/资源组）上进行了分配，并且该用户是否具有受支持的帐户类型。

清理资源

如果创建了不再需要的测试角色分配：

1. 在项目的 访问控制（IAM） 窗格中，找到角色分配。
2. 选择 “删除 ”并确认。

相关内容

• 快速入门：配置 Microsoft Dev Box
• 快速入门：使用开发人员门户创建开发框