Verwalten von Benutzern und Rollen in Ihrer IoT Central-Anwendung
In diesem Artikel wird beschrieben, wie Sie Benutzer in Ihrer Azure IoT Central-Anwendung hinzufügen, bearbeiten und löschen. Außerdem erfahren Sie, wie Sie Rollen in Ihrer Anwendung verwalten.
Um auf den Abschnitt Berechtigungen zugreifen und ihn verwenden zu können, muss Ihnen die Rolle App-Administrator für eine Azure IoT Central-Anwendung oder eine benutzerdefinierte Rolle mit Administratorberechtigungen zugewiesen sein. Wenn Sie eine Azure IoT Central-Anwendung erstellen, werden Sie der Rolle Administrator für diese Anwendung automatisch hinzugefügt.
Informationen zum Verwalten von Benutzern und Rollen mithilfe der IoT Central-REST-API finden Sie unter Verwenden der IoT Central-REST-API zum Verwalten von Benutzern und Rollen.
Benutzer hinzufügen
Jeder Benutzer muss ein Benutzerkonto besitzen, um sich bei einer Anwendung anmelden und darauf zugreifen zu können. IoT Central unterstützt Microsoft-Benutzerkonten, Microsoft Entra-Konten, Microsoft Entra-Gruppen und Microsoft Entra-Dienstprinzipale. Weitere Informationen finden Sie unter Microsoft-Konto: Hilfe und Schnellstart: Hinzufügen neuer Benutzer in Microsoft Entra ID.
Um einen Benutzer einer IoT Central-Anwendung hinzuzufügen, rufen Sie im Abschnitt Berechtigungen die Seite Benutzer auf:
Um einen Benutzer auf der Seite Benutzer hinzuzufügen, wählen Sie die Option + Benutzer zuweisen aus. Um einen Dienstprinzipal auf der Seite Benutzer hinzuzufügen, wählen Sie + Dienstprinzipal zuweisen aus. Um eine Microsoft Entra-Gruppe auf der Seite Benutzer hinzuzufügen, wählen Sie + Gruppe zuweisen aus. Beginnen Sie mit der Eingabe des Namens der Active Directory-Gruppe oder des -Dienstprinzipals, damit das Formular automatisch ausgefüllt wird.
Hinweis
Dienstprinzipale und Active Directory-Gruppen müssen demselben Microsoft Entra-Mandanten angehören wie das der IoT Central-Anwendung zugeordnete Azure-Abonnement.
Wenn Ihre Anwendung Organisationen verwendet,wählen Sie im Dropdownmenü Organisation die Organisation aus, die dem Benutzer zugewiesen werden soll.
Wählen Sie aus der Dropdownliste Rolle eine Rolle für den Benutzer aus. Weitere Informationen zu Rollen finden Sie in diesem Artikel im Abschnitt Verwalten von Rollen:
Die verfügbaren Rollen sind abhängig von der Organisation, der der Benutzer zugeordnet ist. Sie können Rollen des Typs App Benutzern, die der Stammorganisation zugeordnet sind, und Rollen des Typs Organisation Benutzern zuweisen, die einer anderen Organisation in der Hierarchie zugeordnet sind.
Hinweis
Ein Benutzer mit einer benutzerdefinierten Rolle, die ihm die Berechtigung zum Hinzufügen anderer Benutzer gewährt, kann nur Benutzer einer Rolle mit denselben oder niedrigeren Berechtigungen wie die eigene Rolle hinzufügen.
Wenn Sie einen neuen Benutzer einladen, müssen Sie die Anwendungs-URL für ihn freigeben und ihn bitten, sich anzumelden. Nachdem sich der Benutzer zum ersten Mal anmeldet, wird die Anwendung auf der Seite Meine Apps des Benutzers angezeigt.
Hinweis
Wenn ein Benutzer aus Microsoft Entra ID gelöscht und anschließend erneut hinzugefügt wird, kann sich der Benutzer nicht mehr bei der IoT Central-Anwendung anmelden. Der Administrator der Anwendung muss den Benutzer auch in der Anwendung löschen und erneut hinzufügen, um den Zugriff zu reaktivieren.
Die folgenden Einschränkungen gelten für Microsoft Entra-Gruppen und Dienstprinzipale:
- Die Gesamtzahl der Microsoft Entra-Gruppen für jede IoT Central-Anwendung darf nicht mehr als 20 sein.
- Die Gesamtzahl der eindeutigen Microsoft Entra-Gruppen in demselben Microsoft Entra-Mandanten kann in allen IoT Central-Anwendungen nicht mehr als 200 sein.
- Dienstprinzipale, die Teil einer Microsoft Entra-Gruppe sind, wird der Zugriff auf die Anwendung nicht automatisch gewährt. Die Dienstprinzipale müssen explizit hinzugefügt werden.
Bearbeiten der Rollen und Organisationen, die Benutzern zugewiesen sind
Rollen und Organisationen können nach ihrer Zuweisung nicht mehr geändert werden. Wenn Sie die einem Benutzer zugewiesene Rolle oder Organisation ändern möchten, löschen Sie den Benutzer, und fügen Sie ihn dann erneut mit einer anderen Rolle bzw. Organisation hinzu.
Hinweis
Die zugewiesenen Rollen gelten nur für die IoT Central-Anwendung und können nicht über das Azure-Portal verwaltet werden.
Benutzer löschen
Aktivieren Sie zum Löschen von Benutzern auf der Seite Benutzer die entsprechenden Kontrollkästchen. Wählen Sie anschließend die Option Löschen.
Rollen verwalten
Mit Rollen können Sie steuern, wer in Ihrer Organisation verschiedene Aufgaben in IoT Central ausführen darf. Es gibt drei integrierte Rollen, die Sie Benutzern Ihrer Anwendung zuweisen können. Sie können auch benutzerdefinierte Rollen erstellen, wenn Sie eine präzisere Steuerung benötigen.
App-Administrator
Benutzer mit der Rolle App-Administrator können jeden Teil der Anwendung verwalten und steuern, einschließlich der Abrechnung.
Dem Benutzer, der eine Anwendung erstellt, wird die Rolle App-Administrator automatisch zugewiesen. Es muss immer mindestens einen Benutzer mit der Rolle App-Administrator geben.
App-Generator
Benutzer mit der Rolle App-Ersteller können jeden Teil der App verwalten, aber keine Änderungen auf den Registerkarten Anwendung oder Datenexport vornehmen.
App-Operator
Benutzer mit der Rolle App-Operator können die Integrität und den Status des Geräts überwachen. Sie dürfen keine Änderungen an Gerätevorlagen vornehmen und die Anwendung nicht verwalten. Anwendungsoperatoren können Geräte hinzufügen und löschen, Gerätesätze verwalten sowie Analysen und Aufträge ausführen.
Org Administrator (Organisationsadministrator)
IoT Central fügt diese Rolle automatisch hinzu, wenn Sie Ihrer Anwendung eine Organisation hinzufügen. Diese Rolle schränkt den Zugriff von Organisationsadministratoren bei einigen anwendungsweiten Funktionen wie Abrechnung, Branding, Farben, API-Token und Registrierungsgruppeninformationen ein.
Benutzer mit der Rolle Organisationsadministrator können Benutzer zur Anwendung einladen, Unterorganisationen innerhalb ihrer Organisationshierarchie erstellen und die Geräte innerhalb ihrer Organisation verwalten.
Organisationsoperator
IoT Central fügt diese Rolle automatisch hinzu, wenn Sie Ihrer Anwendung eine Organisation hinzufügen. Diese Rolle schränkt Organisationsoperators beim Zugriff auf einige anwendungsweite Funktionen ein.
Benutzer mit der Rolle Organisationsoperator können Aufgaben wie das Hinzufügen von Geräten, Ausführen von Befehlen, Anzeigen von Gerätedaten, Erstellen von Dashboards und Erstellen von Gerätegruppen ausführen.
Org Viewer (Organisationszuschauer)
IoT Central fügt diese Rolle automatisch hinzu, wenn Sie Ihrer Anwendung eine Organisation hinzufügen.
Benutzer mit der Rolle Org Viewer können Elemente wie Geräte und deren Daten, Organisationsdashboards, Gerätegruppen und Gerätevorlagen anzeigen.
Erstellen einer benutzerdefinierten Rolle
Wenn Sie für Ihre Lösung eine präzisere Zugriffssteuerung benötigen, können Sie Rollen mit benutzerdefinierten Berechtigungen erstellen. Zum Erstellen einer benutzerdefinierten Rolle navigieren Sie im Abschnitt Berechtigungen Ihrer Anwendung zur Seite Rollen, und wählen Sie eine der folgenden Optionen aus:
- Wählen Sie + Neuaus, fügen Sie einen Namen und eine Beschreibung für Ihre Rolle hinzu, und wählen Sie Anwendung oder Organisation als Rollentyp aus. Bei dieser Option können Sie eine Rollendefinition von Grund auf neu erstellen.
- Navigieren Sie zu einer vorhandenen Rolle, und wählen Sie Kopieren aus. Bei dieser Option können Sie mit einer vorhandenen Rollendefinition beginnen und sie dann anpassen.
Warnung
Nachdem Sie eine Rolle erstellt haben, können Sie den Rollentyp nicht mehr ändern.
Wenn Sie einen Benutzer zu Ihrer Anwendung einladen und ihn Folgendem zuordnen:
- – der Stammorganisation. Dann sind nur Rollen des Typs Anwendungsrollen verfügbar.
- – einer beliebigen anderen Organisation. Dann sind nur Rollen des Typs Organisation verfügbar.
Sie können Ihrer benutzerdefinierten Rolle Benutzer auf die gleiche Weise hinzufügen wie bei einer integrierten Rolle.
Optionen für benutzerdefinierte Rollen
Wenn Sie eine benutzerdefinierte Rolle definieren, wählen Sie den Berechtigungssatz aus, der einem Benutzer gewährt wird, wenn er Mitglied der Rolle ist. Einige Berechtigungen sind von anderen abhängig. Wenn Sie z. B. einer Rolle die Berechtigung zum Aktualisieren persönlicher Dashboards hinzufügen, wird automatisch auch die Berechtigung zum Anzeigen persönlicher Dashboards hinzugefügt. In den folgenden Tabellen werden die verfügbaren Berechtigungen und ihre Abhängigkeiten zusammengefasst, die Sie beim Erstellen von benutzerdefinierten Rollen verwenden können.
Verwalten von Geräten
Berechtigungen für Gerätevorlagen
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine |
| Verwalten | ansehen Weitere Abhängigkeiten: Anzeigen von Geräteinstanzen |
| Vollzugriff | Anzeigen, verwalten Weitere Abhängigkeiten: Anzeigen von Geräteinstanzen |
Berechtigungen für Geräteinstanzen
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen |
| Aktualisieren | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen |
| Erstellen | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen |
| Löschen | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen |
| Befehle ausführen | Aktualisieren, anzeigen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen |
| Anzeigen von Rohdaten | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen |
| Anzeigen hochgeladener Gerätedateien | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen |
| Löschen hochgeladener Gerätedateien | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen |
| Vollzugriff | Anzeigen, aktualisieren, erstellen, löschen, Befehle ausführen, Rohdaten anzeigen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Gerätegruppen |
Berechtigungen für Gerätegruppen
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Geräteinstanzen |
| Aktualisieren | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Geräteinstanzen |
| Erstellen | Anzeigen, aktualisieren Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Geräteinstanzen |
| Löschen | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Geräteinstanzen |
| Vollzugriff | Anzeigen, aktualisieren, erstellen, löschen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen und Geräteinstanzen |
Berechtigungen für die Gerätekonnektivitätsverwaltung
| Name | Abhängigkeiten |
|---|---|
| Instanz lesen | Keine Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen und Geräteinstanzen |
| Instanz verwalten | Instanz lesen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen und Geräteinstanzen |
| Global lesen | Keine |
| Global verwalten | Global lesen |
| Vollzugriff | Instanz lesen, Instanz verwalten, global lesen, global verwalten Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen und Geräteinstanzen |
Edge-Bereitstellungsmanifeste
| Name | Abhängigkeiten |
|---|---|
| Instanz lesen | Keine Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen und Geräteinstanzen |
| Instanz verwalten | Instanz lesen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen und Geräteinstanzen |
| Global lesen | Keine |
| Global verwalten | Global lesen |
| Vollzugriff | Instanz lesen, Instanz verwalten, global lesen, global verwalten Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen und Geräteinstanzen Aktualisieren von Geräteinstanzen |
Berechtigungen für Aufträge
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen und Gerätegruppen |
| Aktualisieren | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen und Gerätegruppen |
| Erstellen | Anzeigen, aktualisieren Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen und Gerätegruppen |
| Löschen | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen und Gerätegruppen |
| Ausführen | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen und Gerätegruppen; Aktualisieren von Geräteinstanzen; Ausführen von Befehlen auf Geräteinstanzen |
| Vollzugriff | Anzeigen, aktualisieren, erstellen, löschen, ausführen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen und Gerätegruppen; Aktualisieren von Geräteinstanzen; Ausführen von Befehlen auf Geräteinstanzen |
Berechtigungen für Regeln
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen |
| Aktualisieren | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen |
| Erstellen | Anzeigen, aktualisieren Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen |
| Löschen | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen |
| Vollzugriff | Anzeigen, aktualisieren, erstellen, löschen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen |
App verwalten
Berechtigungen für Anwendungseinstellungen
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine |
| Aktualisieren | Ansicht |
| Kopieren | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen, Gerätegruppen, Dashboards, Datenexporten, Brandings, Hilfelinks, benutzerdefinierten Rollen und Regeln |
| Löschen | Ansicht |
| Vollzugriff | Anzeigen, aktualisieren, kopieren, löschen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen, Anwendungsdashboards, Datenexporten, Brandings, Hilfelinks, benutzerdefinierten Rollen und Regeln |
Berechtigungen für den Export von Anwendungsvorlagen
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine |
| Exportieren | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Geräteinstanzen, Gerätegruppen, Dashboards, Datenexporten, Brandings, Hilfelinks, benutzerdefinierten Rollen und Regeln |
| Vollzugriff | Anzeigen, exportieren Weitere Abhängigkeiten: Anzeigen von Gerätevorlagen, Gerätegruppen, Anwendungsdashboards, Datenexporten, Brandings, Hilfelinks, benutzerdefinierten Rollen und Regeln |
Berechtigungen zum Hochladen von Gerätedateien
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine |
| Verwalten | Ansicht |
| Vollzugriff | Anzeigen, verwalten |
Berechtigungen für die Abrechnung
| Name | Abhängigkeiten |
|---|---|
| Verwalten | Keine |
| Vollzugriff | Verwalten |
Berechtigungen für Überwachungsprotokolle
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine |
| Vollzugriff | Ansicht |
Achtung
Jeder Benutzer, dem die Berechtigung zum Anzeigen des Überwachungsprotokolls gewährt wurde, kann sämtliche Protokolleinträge sogar dann anzeigen, wenn er keine Berechtigung zum Anzeigen oder Ändern der im Protokoll aufgeführten Entitäten hat. Deshalb kann jeder Benutzer, der das Protokoll anzeigen kann, die Identität und Änderungen anzeigen, die an jeder geänderten Entität vorgenommen wurden.
Benutzer und Schlüssel verwalten
Berechtigungen für benutzerdefinierte Rollen
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine |
| Aktualisieren | Ansicht |
| Erstellen | Anzeigen, aktualisieren |
| Löschen | Ansicht |
| Vollzugriff | Anzeigen, aktualisieren, erstellen, löschen |
Berechtigungen für die Benutzerverwaltung
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen |
| Add (Hinzufügen) | ansehen Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen |
| Löschen | ansehen Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen |
| Vollzugriff | Anzeigen, hinzufügen, löschen Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen |
Berechtigungen für die Organisationsverwaltung
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine |
| Aktualisieren | Ansicht |
| Erstellen | Anzeigen, aktualisieren |
| Löschen | Ansicht |
| Vollzugriff | Anzeigen, aktualisieren, erstellen, löschen |
Hinweis
Ein Benutzer mit einer benutzerdefinierten Rolle, die ihm die Berechtigung zum Hinzufügen anderer Benutzer gewährt, kann nur Benutzer einer Rolle mit denselben oder niedrigeren Berechtigungen wie die eigene Rolle hinzufügen.
App anpassen
Berechtigungen für Anwendungsdashboards
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine |
| Aktualisieren | Ansicht |
| Erstellen | Anzeigen, aktualisieren |
| Löschen | Ansicht |
| Vollzugriff | Anzeigen, aktualisieren, erstellen, löschen |
Berechtigungen für persönliche Dashboards
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine |
| Aktualisieren | Ansicht |
| Erstellen | Anzeigen, aktualisieren |
| Löschen | Ansicht |
| Vollzugriff | Anzeigen, aktualisieren, erstellen, löschen |
Daten-Explorer-Berechtigungen
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine Weitere Abhängigkeiten: Anzeigen von Gerätegruppen, Gerätevorlagen und Geräteinstanzen |
| Aktualisieren | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätegruppen, Gerätevorlagen und Geräteinstanzen |
| Erstellen | Anzeigen, aktualisieren Weitere Abhängigkeiten: Anzeigen von Gerätegruppen, Gerätevorlagen und Geräteinstanzen |
| Löschen | ansehen Weitere Abhängigkeiten: Anzeigen von Gerätegruppen, Gerätevorlagen und Geräteinstanzen |
| Vollzugriff | Anzeigen, aktualisieren, erstellen, löschen Weitere Abhängigkeiten: Anzeigen von Gerätegruppen, Gerätevorlagen und Geräteinstanzen |
Berechtigungen für Branding, Favicons und Farben
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine |
| Aktualisieren | Ansicht |
| Vollzugriff | Anzeigen, aktualisieren |
Berechtigungen für Hilfelinks
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine |
| Aktualisieren | Ansicht |
| Vollzugriff | Anzeigen, aktualisieren |
App erweitern
Berechtigungen für Datenexporte
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine |
| Aktualisieren | Ansicht |
| Erstellen | Anzeigen, aktualisieren |
| Löschen | Ansicht |
| Vollzugriff | Anzeigen, aktualisieren, erstellen, löschen |
Berechtigungen für API-Token
| Name | Abhängigkeiten |
|---|---|
| Ansicht | Keine Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen |
| Erstellen | ansehen Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen |
| Löschen | ansehen Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen |
| Vollzugriff | Anzeigen, erstellen, löschen Weitere Abhängigkeiten: Anzeigen benutzerdefinierter Rollen |