Synchronisieren von Grafana-Teams mit Microsoft Entra-Gruppen (Vorschau)

  • Artikel

In diesem Leitfaden erfahren Sie, wie Sie Microsoft Entra-Gruppen mit der Synchronisierung von Grafana-Teams (Microsoft Entra-Gruppensynchronisierung) verwenden, um Dashboardberechtigungen in Azure Managed Grafana festzulegen. Grafana ermöglicht es Ihnen, den Zugriff auf Grafana-Ressourcen auf mehreren Ebenen zu steuern. In Managed Grafana verwenden Sie die integrierten Azure RBAC-Rollen (Role-Based Access Control, rollenbasierte Zugriffssteuerung) für Grafana, um Zugriffsrechte von Benutzern zu definieren. Diese Berechtigungen gelten standardmäßig für alle Ressourcen in Ihrem Grafana-Arbeitsbereich. Es ist beispielsweise nicht möglich, einer Person nur für ein bestimmtes Dashboard eine Bearbeitungsberechtigung mit RBAC zu erteilen. Wenn Sie einem Benutzer die Rolle „Grafana-Editor“ zuweisen, kann dieser Benutzer Änderungen an beliebigen Dashboards in Ihrem Grafana-Arbeitsbereich vornehmen. Mithilfe des granularen Berechtigungsmodells von Grafana können Sie die standardmäßige Berechtigungsstufe eines Benutzers für bestimmte Dashboards (oder Dashboardordner) erhöhen oder tiefer stufen.

Das Einrichten von Dashboardberechtigungen für einzelne Benutzer in Managed Grafana ist etwas kompliziert. Managed Grafana speichert die Benutzerzuweisungen für die integrierten RBAC-Rollen in Microsoft Entra ID. Aus Leistungsgründen werden die Benutzerzuweisungen nicht automatisch mit Grafana-Arbeitsbereichen synchronisiert. Benutzer in diesen Rollen werden erst in der Grafana-Benutzeroberfläche Konfiguration angezeigt, nachdem sie sich einmal angemeldet haben. Sie können Benutzern erst dann zusätzliche Berechtigungen erteilen, wenn sie in der Grafana-Benutzerliste unter Konfiguration angezeigt werden. Die Microsoft Entra-Gruppensynchronisierung bietet eine Lösung für dieses Problem. Mit diesem Feature erstellen Sie in Ihrem Grafana-Arbeitsbereich ein Grafana-Team, das mit einer Microsoft Entra-Gruppe verknüpft ist. Anschließend verwenden Sie dieses Team beim Konfigurieren Ihrer Dashboardberechtigungen. Beispielsweise können Sie einem Viewer die Berechtigung zum Ändern eines Dashboards gewähren oder das Vornehmen von Änderungen für einen Editor sperren. Sie müssen die Mitgliederliste des Teams nicht separat verwalten, da die Mitgliedschaft bereits in der zugeordneten Microsoft Entra-Gruppe definiert ist.

Wichtig

Die Microsoft Entra-Gruppensynchronisierung befindet sich derzeit in der Vorschauphase. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Einrichten der Microsoft Entra-Gruppensynchronisierung

Um die Microsoft Entra-Gruppensynchronisierung zu verwenden, fügen Sie Ihrem Grafana-Arbeitsbereich ein neues Team hinzu und verknüpfen es über die Gruppen-ID mit einer vorhandenen Microsoft Entra-Gruppe. Führen Sie die folgenden Schritte aus, um ein durch Microsoft Entra ID unterstütztes Team einzurichten.

  1. Öffnen Sie im Azure-Portal Ihre Grafana-Instanz, und wählen Sie dann unter Konfiguration die Option Einstellungen aus.

  2. Wählen Sie die Registerkarte Microsoft Entra-Teamsynchronisierungseinstellungen aus.

  3. Wählen Sie + Neues Grafana-Team erstellen aus.

    Screenshot of the Azure portal. Configuring Microsoft Entra team sync.

  4. Geben Sie einen Namen für das Grafana-Team ein, und wählen Sie Hinzufügen aus.

    Screenshot of the Azure portal. Creating a new Grafana team.

  5. Wählen Sie unter Zugriff zuweisen zu das neu erstellte Grafana-Team aus.

  6. Wählen Sie + Microsoft Entra-Gruppe hinzufügen aus.

  7. Geben Sie im Suchfeld den Namen einer Microsoft Entra-Gruppe ein, und wählen Sie den Gruppennamen in den Suchergebnissen aus. Wählen Sie zum Bestätigen die Option Auswählen aus.

    Screenshot of the Azure portal. Finding and selecting a Microsoft Entra group.

  8. Wiederholen Sie die vorherigen drei Schritte, wenn Sie dem Grafana-Team weitere Microsoft Entra-Gruppen hinzufügen möchten.

Entfernen der Microsoft Entra-Gruppensynchronisierung

Führen Sie die folgenden Schritte aus, um ein Grafana-Team zu löschen, das Sie nicht mehr benötigen. Durch das Löschen eines Grafana-Teams wird auch der Link zur Microsoft Entra-Gruppe entfernt.

  1. Öffnen Sie im Azure-Portal Ihren Azure Managed Grafana-Arbeitsbereich.

  2. Wählen Sie Verwaltung > Teams aus.

  3. Wählen Sie rechts neben dem Team, das Sie löschen möchten, die Schaltfläche X aus.

    Screenshot of the Grafana platform. Removing a Grafana team.

  4. Wählen Sie zur Bestätigung Löschen aus.

Nächste Schritte

In dieser Schrittanleitung wurde beschrieben, wie Sie von Microsoft Entra-Gruppen unterstützte Grafana-Teams einrichten. Informationen zum Steuern des Zugriffs auf Dashboards in Ihrem Arbeitsbereich mithilfe von Teams finden Sie unter Verwalten von Dashboardberechtigungen.