Teilen über


Verwalten von Benutzern und Rollen in Ihrer IoT Central-Anwendung

In diesem Artikel wird beschrieben, wie Sie Benutzer in Ihrer Azure IoT Central-Anwendung hinzufügen, bearbeiten und löschen. Außerdem erfahren Sie, wie Sie Rollen in Ihrer Anwendung verwalten.

Um auf den Abschnitt Berechtigungen zugreifen und ihn verwenden zu können, muss Ihnen die Rolle App-Administrator für eine Azure IoT Central-Anwendung oder eine benutzerdefinierte Rolle mit Administratorberechtigungen zugewiesen sein. Wenn Sie eine Azure IoT Central-Anwendung erstellen, werden Sie der Rolle Administrator für diese Anwendung automatisch hinzugefügt.

Informationen zum Verwalten von Benutzern und Rollen mithilfe der IoT Central-REST-API finden Sie unter Verwenden der IoT Central-REST-API zum Verwalten von Benutzern und Rollen.

Benutzer hinzufügen

Jeder Benutzer muss ein Benutzerkonto besitzen, um sich bei einer Anwendung anmelden und darauf zugreifen zu können. IoT Central unterstützt Microsoft-Benutzerkonten, Microsoft Entra-Konten, Microsoft Entra-Gruppen und Microsoft Entra-Dienstprinzipale. Weitere Informationen finden Sie unter Microsoft-Konto: Hilfe und Schnellstart: Hinzufügen neuer Benutzer in Microsoft Entra ID.

  1. Um einen Benutzer einer IoT Central-Anwendung hinzuzufügen, rufen Sie im Abschnitt Berechtigungen die Seite Benutzer auf:

    Screenshot that shows the manage users page in IoT Central.

  2. Um einen Benutzer auf der Seite Benutzer hinzuzufügen, wählen Sie die Option + Benutzer zuweisen aus. Um einen Dienstprinzipal auf der Seite Benutzer hinzuzufügen, wählen Sie + Dienstprinzipal zuweisen aus. Um eine Microsoft Entra-Gruppe auf der Seite Benutzer hinzuzufügen, wählen Sie + Gruppe zuweisen aus. Beginnen Sie mit der Eingabe des Namens der Active Directory-Gruppe oder des -Dienstprinzipals, damit das Formular automatisch ausgefüllt wird.

    Hinweis

    Dienstprinzipale und Active Directory-Gruppen müssen demselben Microsoft Entra-Mandanten angehören wie das der IoT Central-Anwendung zugeordnete Azure-Abonnement.

  3. Wenn Ihre Anwendung Organisationen verwendet,wählen Sie im Dropdownmenü Organisation die Organisation aus, die dem Benutzer zugewiesen werden soll.

  4. Wählen Sie aus der Dropdownliste Rolle eine Rolle für den Benutzer aus. Weitere Informationen zu Rollen finden Sie in diesem Artikel im Abschnitt Verwalten von Rollen:

    Screenshot showing how to add a user and select a role.

    Die verfügbaren Rollen sind abhängig von der Organisation, der der Benutzer zugeordnet ist. Sie können Rollen des Typs App Benutzern, die der Stammorganisation zugeordnet sind, und Rollen des Typs Organisation Benutzern zuweisen, die einer anderen Organisation in der Hierarchie zugeordnet sind.

    Hinweis

    Ein Benutzer mit einer benutzerdefinierten Rolle, die ihm die Berechtigung zum Hinzufügen anderer Benutzer gewährt, kann nur Benutzer einer Rolle mit denselben oder niedrigeren Berechtigungen wie die eigene Rolle hinzufügen.

    Wenn Sie einen neuen Benutzer einladen, müssen Sie die Anwendungs-URL für ihn freigeben und ihn bitten, sich anzumelden. Nachdem sich der Benutzer zum ersten Mal anmeldet, wird die Anwendung auf der Seite Meine Apps des Benutzers angezeigt.

    Hinweis

    Wenn ein Benutzer aus Microsoft Entra ID gelöscht und anschließend erneut hinzugefügt wird, kann sich der Benutzer nicht mehr bei der IoT Central-Anwendung anmelden. Der Administrator der Anwendung muss den Benutzer auch in der Anwendung löschen und erneut hinzufügen, um den Zugriff zu reaktivieren.

Die folgenden Einschränkungen gelten für Microsoft Entra-Gruppen und Dienstprinzipale:

  • Die Gesamtzahl der Microsoft Entra-Gruppen für jede IoT Central-Anwendung darf nicht mehr als 20 sein.
  • Die Gesamtzahl der eindeutigen Microsoft Entra-Gruppen in demselben Microsoft Entra-Mandanten kann in allen IoT Central-Anwendungen nicht mehr als 200 sein.
  • Dienstprinzipale, die Teil einer Microsoft Entra-Gruppe sind, wird der Zugriff auf die Anwendung nicht automatisch gewährt. Die Dienstprinzipale müssen explizit hinzugefügt werden.

Bearbeiten der Rollen und Organisationen, die Benutzern zugewiesen sind

Rollen und Organisationen können nach ihrer Zuweisung nicht mehr geändert werden. Wenn Sie die einem Benutzer zugewiesene Rolle oder Organisation ändern möchten, löschen Sie den Benutzer, und fügen Sie ihn dann erneut mit einer anderen Rolle bzw. Organisation hinzu.

Hinweis

Die zugewiesenen Rollen gelten nur für die IoT Central-Anwendung und können nicht über das Azure-Portal verwaltet werden.

Benutzer löschen

Aktivieren Sie zum Löschen von Benutzern auf der Seite Benutzer die entsprechenden Kontrollkästchen. Wählen Sie anschließend die Option Löschen.

Rollen verwalten

Mit Rollen können Sie steuern, wer in Ihrer Organisation verschiedene Aufgaben in IoT Central ausführen darf. Es gibt drei integrierte Rollen, die Sie Benutzern Ihrer Anwendung zuweisen können. Sie können auch benutzerdefinierte Rollen erstellen, wenn Sie eine präzisere Steuerung benötigen.

Screenshot that shows how to manage roles.

App-Administrator

Benutzer mit der Rolle App-Administrator können jeden Teil der Anwendung verwalten und steuern, einschließlich der Abrechnung.

Dem Benutzer, der eine Anwendung erstellt, wird die Rolle App-Administrator automatisch zugewiesen. Es muss immer mindestens einen Benutzer mit der Rolle App-Administrator geben.

App-Generator

Benutzer mit der Rolle App-Ersteller können jeden Teil der App verwalten, aber keine Änderungen auf den Registerkarten Anwendung oder Datenexport vornehmen.

App-Operator

Benutzer mit der Rolle App-Operator können die Integrität und den Status des Geräts überwachen. Sie dürfen keine Änderungen an Gerätevorlagen vornehmen und die Anwendung nicht verwalten. Anwendungsoperatoren können Geräte hinzufügen und löschen, Gerätesätze verwalten sowie Analysen und Aufträge ausführen.

Org Administrator (Organisationsadministrator)

IoT Central fügt diese Rolle automatisch hinzu, wenn Sie Ihrer Anwendung eine Organisation hinzufügen. Diese Rolle schränkt den Zugriff von Organisationsadministratoren bei einigen anwendungsweiten Funktionen wie Abrechnung, Branding, Farben, API-Token und Registrierungsgruppeninformationen ein.

Benutzer mit der Rolle Organisationsadministrator können Benutzer zur Anwendung einladen, Unterorganisationen innerhalb ihrer Organisationshierarchie erstellen und die Geräte innerhalb ihrer Organisation verwalten.

Organisationsoperator

IoT Central fügt diese Rolle automatisch hinzu, wenn Sie Ihrer Anwendung eine Organisation hinzufügen. Diese Rolle schränkt Organisationsoperators beim Zugriff auf einige anwendungsweite Funktionen ein.

Benutzer mit der Rolle Organisationsoperator können Aufgaben wie das Hinzufügen von Geräten, Ausführen von Befehlen, Anzeigen von Gerätedaten, Erstellen von Dashboards und Erstellen von Gerätegruppen ausführen.

Org Viewer (Organisationszuschauer)

IoT Central fügt diese Rolle automatisch hinzu, wenn Sie Ihrer Anwendung eine Organisation hinzufügen.

Benutzer mit der Rolle Org Viewer können Elemente wie Geräte und deren Daten, Organisationsdashboards, Gerätegruppen und Gerätevorlagen anzeigen.

Erstellen einer benutzerdefinierten Rolle

Wenn Sie für Ihre Lösung eine präzisere Zugriffssteuerung benötigen, können Sie Rollen mit benutzerdefinierten Berechtigungen erstellen. Zum Erstellen einer benutzerdefinierten Rolle navigieren Sie im Abschnitt Berechtigungen Ihrer Anwendung zur Seite Rollen, und wählen Sie eine der folgenden Optionen aus:

  • Wählen Sie + Neuaus, fügen Sie einen Namen und eine Beschreibung für Ihre Rolle hinzu, und wählen Sie Anwendung oder Organisation als Rollentyp aus. Bei dieser Option können Sie eine Rollendefinition von Grund auf neu erstellen.
  • Navigieren Sie zu einer vorhandenen Rolle, und wählen Sie Kopieren aus. Bei dieser Option können Sie mit einer vorhandenen Rollendefinition beginnen und sie dann anpassen.

Screenshot that shows how to build a custom role.

Warnung

Nachdem Sie eine Rolle erstellt haben, können Sie den Rollentyp nicht mehr ändern.

Wenn Sie einen Benutzer zu Ihrer Anwendung einladen und ihn Folgendem zuordnen:

  • – der Stammorganisation. Dann sind nur Rollen des Typs Anwendungsrollen verfügbar.
  • – einer beliebigen anderen Organisation. Dann sind nur Rollen des Typs Organisation verfügbar.

Sie können Ihrer benutzerdefinierten Rolle Benutzer auf die gleiche Weise hinzufügen wie bei einer integrierten Rolle.

Optionen für benutzerdefinierte Rollen

Wenn Sie eine benutzerdefinierte Rolle definieren, wählen Sie den Berechtigungssatz aus, der einem Benutzer gewährt wird, wenn er Mitglied der Rolle ist. Einige Berechtigungen sind von anderen abhängig. Wenn Sie z. B. einer Rolle die Berechtigung zum Aktualisieren persönlicher Dashboards hinzufügen, wird automatisch auch die Berechtigung zum Anzeigen persönlicher Dashboards hinzugefügt. In den folgenden Tabellen werden die verfügbaren Berechtigungen und ihre Abhängigkeiten zusammengefasst, die Sie beim Erstellen von benutzerdefinierten Rollen verwenden können.

Verwalten von Geräten

Berechtigungen für Gerätevorlagen

Name Abhängigkeiten
Ansicht Keine
Verwalten ansehen
Weitere Abhängigkeiten: Anzeigen von Geräteinstanzen
Vollzugriff Anzeigen, verwalten
Weitere Abhängigkeiten: Anzeigen von Geräteinstanzen

Berechtigungen für Geräteinstanzen

Name Abhängigkeiten
Ansicht Keine
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen
Aktualisieren ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen
Erstellen ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen
Löschen ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen
Befehle ausführen Aktualisieren, anzeigen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen
Anzeigen von Rohdaten ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen
Anzeigen hochgeladener Gerätedateien ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen
Löschen hochgeladener Gerätedateien ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen
Vollzugriff Anzeigen, aktualisieren, erstellen, löschen, Befehle ausführen, Rohdaten anzeigen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen

Berechtigungen für Gerätegruppen

Name Abhängigkeiten
Ansicht Keine
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Geräteinstanzen
Aktualisieren ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Geräteinstanzen
Erstellen Anzeigen, aktualisieren
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Geräteinstanzen
Löschen ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Geräteinstanzen
Vollzugriff Anzeigen, aktualisieren, erstellen, löschen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Geräteinstanzen

Berechtigungen für die Gerätekonnektivitätsverwaltung

Name Abhängigkeiten
Instanz lesen Keine
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen und Geräteinstanzen
Instanz verwalten Instanz lesen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen und Geräteinstanzen
Global lesen Keine
Global verwalten Global lesen
Vollzugriff Instanz lesen, Instanz verwalten, global lesen, global verwalten
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen und Geräteinstanzen

Edge-Bereitstellungsmanifeste

Name Abhängigkeiten
Instanz lesen Keine
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen und Geräteinstanzen
Instanz verwalten Instanz lesen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen und Geräteinstanzen
Global lesen Keine
Global verwalten Global lesen
Vollzugriff Instanz lesen, Instanz verwalten, global lesen, global verwalten
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen und Geräteinstanzen Aktualisieren von Geräteinstanzen

Berechtigungen für Aufträge

Name Abhängigkeiten
Ansicht Keine
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen und Gerätegruppen
Aktualisieren ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen und Gerätegruppen
Erstellen Anzeigen, aktualisieren
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen und Gerätegruppen
Löschen ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen und Gerätegruppen
Ausführen ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen und Gerätegruppen; Aktualisieren von Geräteinstanzen; Ausführen von Befehlen auf Geräteinstanzen
Vollzugriff Anzeigen, aktualisieren, erstellen, löschen, ausführen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen und Gerätegruppen; Aktualisieren von Geräteinstanzen; Ausführen von Befehlen auf Geräteinstanzen

Berechtigungen für Regeln

Name Abhängigkeiten
Ansicht Keine
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen
Aktualisieren ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen
Erstellen Anzeigen, aktualisieren
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen
Löschen ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen
Vollzugriff Anzeigen, aktualisieren, erstellen, löschen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen

App verwalten

Berechtigungen für Anwendungseinstellungen

Name Abhängigkeiten
Ansicht Keine
Aktualisieren Ansicht
Kopieren ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen, Gerätegruppen, Dashboards, Datenexporten, Brandings, Hilfelinks, benutzerdefinierten Rollen und Regeln
Löschen Ansicht
Vollzugriff Anzeigen, aktualisieren, kopieren, löschen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen, Anwendungsdashboards, Datenexporten, Brandings, Hilfelinks, benutzerdefinierten Rollen und Regeln

Berechtigungen für den Export von Anwendungsvorlagen

Name Abhängigkeiten
Ansicht Keine
Exportieren ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen, Gerätegruppen, Dashboards, Datenexporten, Brandings, Hilfelinks, benutzerdefinierten Rollen und Regeln
Vollzugriff Anzeigen, exportieren
Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen, Anwendungsdashboards, Datenexporten, Brandings, Hilfelinks, benutzerdefinierten Rollen und Regeln

Berechtigungen zum Hochladen von Gerätedateien

Name Abhängigkeiten
Ansicht Keine
Verwalten Ansicht
Vollzugriff Anzeigen, verwalten

Berechtigungen für die Abrechnung

Name Abhängigkeiten
Verwalten Keine
Vollzugriff Verwalten

Berechtigungen für Überwachungsprotokolle

Name Abhängigkeiten
Ansicht Keine
Vollzugriff Ansicht

Achtung

Jeder Benutzer, dem die Berechtigung zum Anzeigen des Überwachungsprotokolls gewährt wurde, kann sämtliche Protokolleinträge sogar dann anzeigen, wenn er keine Berechtigung zum Anzeigen oder Ändern der im Protokoll aufgeführten Entitäten hat. Deshalb kann jeder Benutzer, der das Protokoll anzeigen kann, die Identität und Änderungen anzeigen, die an jeder geänderten Entität vorgenommen wurden.

Benutzer und Schlüssel verwalten

Berechtigungen für benutzerdefinierte Rollen

Name Abhängigkeiten
Ansicht Keine
Aktualisieren Ansicht
Erstellen Anzeigen, aktualisieren
Löschen Ansicht
Vollzugriff Anzeigen, aktualisieren, erstellen, löschen

Berechtigungen für die Benutzerverwaltung

Name Abhängigkeiten
Ansicht Keine
Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen
Add (Hinzufügen) ansehen
Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen
Löschen ansehen
Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen
Vollzugriff Anzeigen, hinzufügen, löschen
Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen

Berechtigungen für die Organisationsverwaltung

Name Abhängigkeiten
Ansicht Keine
Aktualisieren Ansicht
Erstellen Anzeigen, aktualisieren
Löschen Ansicht
Vollzugriff Anzeigen, aktualisieren, erstellen, löschen

Hinweis

Ein Benutzer mit einer benutzerdefinierten Rolle, die ihm die Berechtigung zum Hinzufügen anderer Benutzer gewährt, kann nur Benutzer einer Rolle mit denselben oder niedrigeren Berechtigungen wie die eigene Rolle hinzufügen.

App anpassen

Berechtigungen für Anwendungsdashboards

Name Abhängigkeiten
Ansicht Keine
Aktualisieren Ansicht
Erstellen Anzeigen, aktualisieren
Löschen Ansicht
Vollzugriff Anzeigen, aktualisieren, erstellen, löschen

Berechtigungen für persönliche Dashboards

Name Abhängigkeiten
Ansicht Keine
Aktualisieren Ansicht
Erstellen Anzeigen, aktualisieren
Löschen Ansicht
Vollzugriff Anzeigen, aktualisieren, erstellen, löschen

Daten-Explorer-Berechtigungen

Name Abhängigkeiten
Ansicht Keine
Weitere Abhängigkeiten: Anzeigen von Gerätegruppen, Gerätevorlagen und Geräteinstanzen
Aktualisieren ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätegruppen, Gerätevorlagen und Geräteinstanzen
Erstellen Anzeigen, aktualisieren
Weitere Abhängigkeiten: Anzeigen von Gerätegruppen, Gerätevorlagen und Geräteinstanzen
Löschen ansehen
Weitere Abhängigkeiten: Anzeigen von Gerätegruppen, Gerätevorlagen und Geräteinstanzen
Vollzugriff Anzeigen, aktualisieren, erstellen, löschen
Weitere Abhängigkeiten: Anzeigen von Gerätegruppen, Gerätevorlagen und Geräteinstanzen

Berechtigungen für Branding, Favicons und Farben

Name Abhängigkeiten
Ansicht Keine
Aktualisieren Ansicht
Vollzugriff Anzeigen, aktualisieren

Berechtigungen für Hilfelinks

Name Abhängigkeiten
Ansicht Keine
Aktualisieren Ansicht
Vollzugriff Anzeigen, aktualisieren

App erweitern

Berechtigungen für Datenexporte

Name Abhängigkeiten
Ansicht Keine
Aktualisieren Ansicht
Erstellen Anzeigen, aktualisieren
Löschen Ansicht
Vollzugriff Anzeigen, aktualisieren, erstellen, löschen

Berechtigungen für API-Token

Name Abhängigkeiten
Ansicht Keine
Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen
Erstellen ansehen
Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen
Löschen ansehen
Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen
Vollzugriff Anzeigen, erstellen, löschen
Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen