你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何在 Azure IoT Central 应用程序中添加、编辑和删除用户。 本文还介绍如何管理应用程序中的角色。
若要访问和使用 “权限” 部分,必须在 Azure IoT Central 应用程序 的应用管理员 角色或包含管理权限的自定义角色中。 如果您创建 Azure IoT Central 应用程序,您将自动被添加到该应用程序的 应用管理员 角色。
若要了解如何使用 IoT Central REST API 管理用户和角色,请参阅 如何使用 IoT Central REST API 管理用户和角色。
添加用户
每个用户必须拥有一个用户帐户,然后才能登录和访问应用程序。 IoT Central 支持Microsoft用户帐户、Microsoft Entra 帐户、Microsoft Entra 组和 Microsoft Entra 服务主体。 若要了解详细信息,请参阅 Microsoft帐户帮助 以及如何 创建、邀请和删除用户。
若要将用户添加到 IoT Central 应用程序,请转到“权限”部分中的“用户”页:
若要在 “用户 ”页上添加用户,请选择“ + 分配用户”。 若要在 “用户 ”页上添加服务主体,请选择“ + 分配服务主体”。 若要在 “用户 ”页上添加Microsoft Entra 组,请选择“ + 分配组”。 开始键入 Active Directory 组或服务主体的名称以自动填充表单。
注释
服务主体和 Active Directory 组必须与和 IoT Central 应用程序关联的 Azure 订阅属于同一 Microsoft Entra 租户。
如果应用程序使用 组织,请从 “组织” 下拉菜单中选择要分配给用户的组织。
从 “角色 ”下拉菜单中选择用户的角色。 在本文的“ 管理角色 ”部分中详细了解角色:
可用的角色取决于用户与之关联的组织。 可以将 应用 角色分配给与根组织关联的用户,并将 组织 角色分配给与层次结构中任何其他组织关联的用户。
注释
具有自定义角色并被授予添加其他用户的权限的用户只能将用户添加到具有与其自身角色相同或更少权限的角色。
邀请新用户时,需要与他们共享应用程序 URL 并要求他们登录。 用户首次登录后,应用程序将显示在用户的 “我的应用 ”页上。
注释
如果用户从 Microsoft Entra ID 中删除,然后添加回去,则他们无法登录到 IoT Central 应用程序。 若要重新启用访问权限,应用程序的管理员还应删除并重新添加应用程序中的用户。
以下限制适用于Microsoft Entra 组和服务主体:
- 每个 IoT Central 应用程序的Microsoft Entra 组总数不能超过 20 个。
- 来自同一 Microsoft Entra 租户的唯一 Microsoft Entra 组的总数在所有 IoT Central 应用程序中不能超过 200 个。
- 作为Microsoft Entra 组一部分的服务主体不会自动授予对应用程序的访问权限。 必须显式添加服务主体。
编辑分配给用户的角色和组织
分配角色和组织后无法更改。 若要更改分配给用户的角色或组织,请删除该用户,然后使用其他角色或组织再次添加该用户。
注释
分配的角色特定于 IoT Central 应用程序,无法从 Azure 门户进行管理。
删除用户
若要删除用户,请在 “用户 ”页上选中一个或多个复选框。 然后选择“删除”。
管理角色
通过角色,可以控制组织内允许谁在 IoT Central 中执行各种任务。 有三个内置角色可以分配给应用程序的用户。 如果需要更精细的控制,还可以 创建自定义角色 。
应用管理员
应用管理员角色中的用户可以管理和控制应用程序的每个部分,包括计费。
创建应用程序的用户会自动分配给 应用管理员 角色。 应用管理员角色中必须始终至少有一个用户。
应用生成器
应用生成器角色中的用户可以管理应用的每个部分,但无法在“应用程序”或“数据导出”选项卡上进行更改。
应用操作员
应用操作员角色中的用户可以监视设备运行状况和状态。 不允许更改设备模板或管理应用程序。 操作员可以添加和删除设备、管理设备集以及运行分析和作业。
组织管理员
将组织添加到应用程序时,IoT Central 会自动添加此角色。 此角色限制组织管理员访问某些应用程序范围的功能,例如计费、品牌、颜色、API 令牌和注册组信息。
组织管理员角色中的用户可以邀请用户加入应用程序,在其组织层次结构中创建子组织,以及管理组织内的设备。
组织操作者
将组织添加到应用程序时,IoT Central 会自动添加此角色。 此角色限制组织操作员访问某些应用程序范围内的功能。
组织操作员角色中的用户可以完成添加设备、运行命令、查看设备数据、创建仪表板和创建设备组等任务。
组织查看器
将组织添加到应用程序时,IoT Central 会自动添加此角色。
组织查看器角色中的用户可以查看设备及其数据、组织仪表板、设备组和设备模板等项。
创建自定义角色
如果解决方案需要精细的访问控制,则可以使用自定义权限集创建角色。 若要创建自定义角色,请导航到应用程序“权限”部分中的“角色”页,然后选择以下选项之一:
- 选择 “+ 新建”,为角色添加名称和说明,然后选择 “应用程序 ”或 “组织 ”作为角色类型。 此选项允许从头开始创建角色定义。
- 导航到现有角色并选择“ 复制”。 通过此选项,可以从可以自定义的现有角色定义开始。
警告
创建角色后,无法更改角色类型。
邀请用户加入应用程序时,如果将该用户与某项关联:
- 如果是根组织,则只有 应用程序 角色可用。
- 任何其他组织,则只有 组织 角色可用。
可以使用与将用户添加到内置角色的相同方式将用户添加到你的自定义角色。
自定义角色选项
定义自定义角色时,可以选择向作为该角色成员的用户授予的权限集。 某些权限依赖于其他权限。 例如,如果将 “更新个人仪表板 ”权限添加到角色,则会自动添加 “查看个人仪表板 ”权限。 下表汇总了自定义角色时可以使用的可用权限及其依赖项。
管理设备
设备模板权限
| Name | 依赖关系 |
|---|---|
| 查看 | None |
| Manage | 视图 其他依赖项:查看设备实例 |
| 完全控制 | 查看、管理 其他依赖项:查看设备实例 |
设备实例权限
| Name | 依赖关系 |
|---|---|
| 查看 | 没有 其他依赖项:查看设备模板和设备组 |
| Update | 视图 其他依赖项:查看设备模板和设备组 |
| 创建 | 视图 其他依赖项:查看设备模板和设备组 |
| 删除 | 视图 其他依赖项:查看设备模板和设备组 |
| 执行命令 | 更新、查看 其他依赖项:查看设备模板和设备组 |
| 查看原始数据 | 视图 其他依赖项:查看设备模板和设备组 |
| 查看上传的设备文件 | 视图 其他依赖项:查看设备模板和设备组 |
| 删除上传的设备文件 | 视图 其他依赖项:查看设备模板和设备组 |
| 完全控制 | 查看、更新、创建、删除、执行命令、查看原始数据 其他依赖项:查看设备模板和设备组 |
设备组权限
| Name | 依赖关系 |
|---|---|
| 查看 | 没有 其他依赖项:查看设备模板和设备实例 |
| Update | 视图 其他依赖项:查看设备模板和设备实例 |
| 创建 | 查看、更新 其他依赖项:查看设备模板和设备实例 |
| 删除 | 视图 其他依赖项:查看设备模板和设备实例 |
| 完全控制 | 查看、更新、创建、删除 其他依赖项:查看设备模板和设备实例 |
设备连接管理权限
| Name | 依赖关系 |
|---|---|
| 读取实例 | 没有 其他依赖项:查看设备模板、设备组、设备实例 |
| 管理实例 | 读取实例 其他依赖项:查看设备模板、设备组、设备实例 |
| 读取全局 | None |
| 管理全局 | 读取全局 |
| 完全控制 | 读取实例、管理实例、读取全局、管理全局 其他依赖项:查看设备模板、设备组、设备实例 |
Edge 部署清单
| Name | 依赖关系 |
|---|---|
| 读取实例 | 没有 其他依赖项:查看设备模板、设备组、设备实例 |
| 管理实例 | 读取实例 其他依赖项:查看设备模板、设备组、设备实例 |
| 读取全局 | None |
| 管理全局 | 读取全局 |
| 完全控制 | 读取实例、管理实例、全局读取、全局管理 其他依赖项:查看设备模板、设备组、设备实例。 更新设备实例 |
作业权限
| Name | 依赖关系 |
|---|---|
| 查看 | 没有 其他依赖项:查看设备模板、设备实例和设备组 |
| Update | 视图 其他依赖项:查看设备模板、设备实例和设备组 |
| 创建 | 查看、更新 其他依赖项:查看设备模板、设备实例和设备组 |
| 删除 | 视图 其他依赖项:查看设备模板、设备实例和设备组 |
| Execute | 视图 其他依赖项:查看设备模板、设备实例和设备组;更新设备实例;在设备实例上执行命令 |
| 完全控制 | 查看、更新、创建、删除、执行 其他依赖项:查看设备模板、设备实例和设备组;更新设备实例;在设备实例上执行命令 |
规则权限
| Name | 依赖关系 |
|---|---|
| 查看 | 没有 其他依赖项:查看设备模板 |
| Update | 视图 其他依赖项:查看设备模板 |
| 创建 | 查看、更新 其他依赖项:查看设备模板 |
| 删除 | 视图 其他依赖项:查看设备模板 |
| 完全控制 | 查看、更新、创建、删除 其他依赖项:查看设备模板 |
管理应用
应用程序设置权限
| Name | 依赖关系 |
|---|---|
| 查看 | None |
| Update | 查看 |
| 复制 | 视图 其他依赖项:查看设备模板、设备实例、设备组、仪表板、数据导出、品牌、帮助链接、自定义角色、规则 |
| 删除 | 查看 |
| 完全控制 | 查看、更新、复制、删除 其他依赖项:查看设备模板、设备组、应用程序仪表板、数据导出、品牌、帮助链接、自定义角色、规则 |
应用程序模板导出权限
| Name | 依赖关系 |
|---|---|
| 查看 | None |
| Export | 视图 其他依赖项:查看设备模板、设备实例、设备组、仪表板、数据导出、品牌、帮助链接、自定义角色、规则 |
| 完全控制 | 查看、导出 其他依赖项:查看设备模板、设备组、应用程序仪表板、数据导出、品牌、帮助链接、自定义角色、规则 |
设备文件上传权限
| Name | 依赖关系 |
|---|---|
| 查看 | None |
| Manage | 查看 |
| 完全控制 | 查看、管理 |
计费权限
| Name | 依赖关系 |
|---|---|
| Manage | None |
| 完全控制 | Manage |
审核日志权限
| Name | 依赖关系 |
|---|---|
| 查看 | None |
| 完全控制 | 查看 |
注意
任何授予查看审核日志的权限的用户都可以查看所有日志条目,即使他们无权查看或修改日志中列出的实体。 因此,任何可以查看日志的用户都可以查看对任何修改实体的标识和更改。
管理用户和角色
自定义角色权限
| Name | 依赖关系 |
|---|---|
| 查看 | None |
| Update | 查看 |
| 创建 | 查看、更新 |
| 删除 | 查看 |
| 完全控制 | 查看、更新、创建、删除 |
用户管理权限
| Name | 依赖关系 |
|---|---|
| 查看 | 没有 其他依赖项:查看自定义角色 |
| 添加 | 视图 其他依赖项:查看自定义角色 |
| 删除 | 视图 其他依赖项:查看自定义角色 |
| 完全控制 | 查看、添加、删除 其他依赖项:查看自定义角色 |
组织管理权限
| Name | 依赖关系 |
|---|---|
| 查看 | None |
| Update | 查看 |
| 创建 | 查看、更新 |
| 删除 | 查看 |
| 完全控制 | 查看、更新、创建、删除 |
注释
具有自定义角色并被授予添加其他用户的权限的用户只能将用户添加到具有与其自身角色相同或更少权限的角色。
自定义应用
应用程序仪表板权限
| Name | 依赖关系 |
|---|---|
| 查看 | None |
| Update | 查看 |
| 创建 | 查看、更新 |
| 删除 | 查看 |
| 完全控制 | 查看、更新、创建、删除 |
个人仪表板权限
| Name | 依赖关系 |
|---|---|
| 查看 | None |
| Update | 查看 |
| 创建 | 查看、更新 |
| 删除 | 查看 |
| 完全控制 | 查看、更新、创建、删除 |
数据资源管理器权限
| Name | 依赖关系 |
|---|---|
| 查看 | 没有 其他依赖项:查看设备组、设备模板、设备实例 |
| Update | 视图 其他依赖项:查看设备组、设备模板、设备实例 |
| 创建 | 查看、更新 其他依赖项:查看设备组、设备模板、设备实例 |
| 删除 | 视图 其他依赖项:查看设备组、设备模板、设备实例 |
| 完全控制 | 查看、更新、创建、删除 其他依赖项:查看设备组、设备模板、设备实例 |
品牌、网站图标和颜色权限
| Name | 依赖关系 |
|---|---|
| 查看 | None |
| Update | 查看 |
| 完全控制 | 查看、更新 |
帮助链接权限
| Name | 依赖关系 |
|---|---|
| 查看 | None |
| Update | 查看 |
| 完全控制 | 查看、更新 |
扩展应用
数据导出权限
| Name | 依赖关系 |
|---|---|
| 查看 | None |
| Update | 查看 |
| 创建 | 查看、更新 |
| 删除 | 查看 |
| 完全控制 | 查看、更新、创建、删除 |
API 令牌权限
| Name | 依赖关系 |
|---|---|
| 查看 | 没有 其他依赖项:查看自定义角色 |
| 创建 | 视图 其他依赖项:查看自定义角色 |
| 删除 | 视图 其他依赖项:查看自定义角色 |
| 完全控制 | 查看、创建、删除 其他依赖项:查看自定义角色 |