Berechtigungen für die Website „azureiotsuite.com“

  • Artikel

Was bei der Anmeldung geschieht

Bei Ihrer ersten Anmeldung bei azureiotsuite.com bestimmt die Website basierend auf dem derzeit ausgewählten Azure Active Directory-Mandanten (AAD) und dem Azure-Abonnement Ihre Berechtigungsstufen.

  1. Um die Liste der Mandanten aufzufüllen, die neben Ihrem Benutzernamen angezeigt werden, ermittelt die Website zunächst mithilfe von Azure, zu welchen AAD-Mandanten Sie gehören. Derzeit kann die Website nur Benutzertoken für jeweils einen Mandanten abrufen. Daher werden Sie, wenn Sie über das Dropdownfeld rechts oben den Mandanten wechseln, bei diesem Mandanten angemeldet, um die Token für diesen Mandanten zu beziehen.

  2. Als Nächstes ermittelt die Website mithilfe von Azure, welche Abonnements Sie dem ausgewählten Mandanten zugeordnet haben. Die verfügbaren Abonnements werden angezeigt, wenn Sie eine neue vorkonfigurierte Lösung erstellen.

  3. Abschließend ruft die Website alle Ressourcen in den Abonnements und Ressourcengruppen ab, die als vorkonfigurierte Lösungen gekennzeichnet sind, und füllt die Kacheln auf der Startseite auf.

In den beiden folgenden Abschnitten werden die Rollen beschrieben, die den Zugriff auf die vorkonfigurierten Lösungen steuern.

AAD-Rollen

Die AAD-Rollen steuern die Fähigkeit, vorkonfigurierte Lösungen bereitzustellen und Benutzer in einer vorkonfigurierten Lösung zu verwalten.

Weitere Informationen zu Administratorrollen in AAD finden Sie unter Zuweisen von Administratorrollen in Azure AD. Der aktuelle Artikel konzentriert sich auf die Verzeichnisrollen Globaler Administrator und Benutzer, die von den vorkonfigurierten Lösungen verwendet werden.

Globaler Administrator

Pro AAD-Mandant kann es viele globale Administratoren geben:

  • Wenn Sie einen AAD-Mandanten erstellen, sind Sie standardmäßig der globale Administrator dieses Mandanten.
  • Der globale Administrator kann eine vorkonfigurierte Lösung bereitstellen und erhält die Rolle Administrator für die Anwendung innerhalb des AAD-Mandanten.
  • Wenn ein anderer Benutzer im selben AAD-Mandanten eine Anwendung erstellt, ist ReadOnly die Standardrolle, die dem globalen Administrator zugewiesen wird.
  • Ein globaler Administrator kann Benutzer über das Azure-Portal Rollen für Anwendungen zuweisen.

Domänenbenutzer

Pro AAD-Mandant können zahlreiche Domänenbenutzer vorhanden sein:

  • Domänenbenutzer können eine vorkonfigurierte Lösung über die Website azureiotsuite.com bereitstellen. Standardmäßig wird dem Domänenbenutzer in der bereitgestellten Anwendung die Administratorrolle erteilt.
  • Ein Domänenbenutzer kann eine Anwendung mithilfe des Skripts build.cmd im Repository azure-iot-remote-monitoring, azure-iot-predictive-maintenance oder azure-iot-connected-factory erstellen. Die dem Domänenbenutzer erteilte Standardrolle ist jedoch schreibgeschützt, da der Domänenbenutzer keine Berechtigung zum Zuweisen von Rollen besitzt.
  • Wenn ein anderer Benutzer im AAD-Mandanten eine Anwendung erstellt, wird dem Domänenbenutzer standardmäßig die Rolle ReadOnly für diese Anwendung zugewiesen.
  • Ein Domänenbenutzer kann keine Rollen für Anwendungen zuweisen und daher keine Benutzer oder Rollen für Benutzer für eine Anwendung hinzufügen, auch wenn diese sie bereitgestellt haben.

Gastbenutzer

Pro AAD-Mandant kann es viele Gastbenutzer geben. Gastbenutzer verfügen im AAD-Mandanten über begrenzte Rechte. Daher können Gastbenutzer keine vorkonfigurierte Lösung im AAD-Mandanten bereitstellen.

Weitere Informationen zu Benutzern und Rollen in AAD finden Sie in den folgenden Ressourcen:

Administratorrollen für Azure-Abonnements

Azure-Administratorrollen steuern die Fähigkeit, einem AD-Mandanten ein Azure-Abonnement zuzuordnen.

Weitere Informationen zu den Azure-Administratorrollen finden Sie im Artikel Hinzufügen oder Ändern des Co-Administrators, Dienstadministrators und Kontoadministrators in Azure.

Anwendungsrollen

Anwendungsrollen steuern den Zugriff auf Geräte in Ihrer vorkonfigurierten Lösung.

In einer bereitgestellten Anwendung werden zwei definierte Rollen und eine implizite Rolle definiert:

  • Administrator: Hat Vollzugriff zum Hinzufügen, Verwalten und Entfernen von Geräten sowie zum Ändern von Einstellungen.
  • ReadOnly: Kann Geräte, Regeln, Aktionen, Aufträge und Telemetrie anzeigen.

Sie finden die Berechtigungen, die jeder Rolle zugewiesen sind, in der Quelldatei RolePermissions.cs.

Ändern von Anwendungsrollen eines Benutzers

Mithilfe des folgenden Verfahrens können Sie einen Benutzer in Ihrem Active Directory zum Administratoren Ihrer vorkonfigurierten Lösung ernennen.

Sie müssen globaler AAD-Administrator sein, um Rollen für einen Benutzer zu ändern:

  1. Öffnen Sie das Azure-Portal.
  2. Wählen Sie Azure Active Directory aus.
  3. Vergewissern Sie sich, dass Sie das Verzeichnis verwenden, das Sie auf azureiotsuite.com ausgewählt haben, als Sie Ihre Lösung bereitgestellt haben. Wenn Sie mehrere Verzeichnisse haben, die Ihrem Abonnement zugeordnet sind, können Sie zwischen diesen wechseln, wenn Sie auf Ihren Kontonamen in der oberen rechten Ecke des Portals klicken.
  4. Klicken Sie auf Unternehmensanwendungen und dann auf Alle Anwendungen.
  5. Zeigen Sie Alle Anwendungen mit dem Status Beliebigan. Suchen Sie dann nach einer Anwendung mit dem Namen Ihrer vorkonfigurierten Lösung.
  6. Klicken Sie auf den Namen der Anwendung, der mit dem Namen der vorkonfigurierten Lösung übereinstimmt.
  7. Klicken Sie auf Benutzer und Gruppen.
  8. Wählen Sie den Benutzer aus, dessen Rolle gewechselt werden soll.
  9. Klicken Sie auf Zuweisen, wählen Sie die Rolle (beispielsweise Admin) aus, die sie dem Benutzer zuweisen möchten, und klicken Sie anschließend auf das Häkchen.

Häufig gestellte Fragen

Ich bin Dienstadministrator und möchte die Verzeichniszuordnung zwischen meinem Abonnement und einen bestimmten AAD-Mandanten ändern. Wie führe ich diese Aufgabe aus?

Informationen dazu finden Sie unter Hinzufügen eines vorhandenen Abonnements zu Ihrem Azure AD-Verzeichnis.

Ich bin Domänenbenutzer/-mitglied des AAD-Mandanten und habe eine vorkonfigurierte Lösung erstellt. Wie wird mir eine Rolle für meine Anwendung zugewiesen?

Bitten Sie einen globalen Administrator, Sie zu einem globalen Administrator des AAD-Mandanten zu machen, und weisen Sie dann Benutzern selbst Rollen zu. Alternativ können Sie auch einen globalen Administrator bitten, Ihnen direkt eine Rolle zuzuweisen. Wenn Sie den AAD-Mandanten ändern möchten, in dem Ihre vorkonfigurierte Lösung bereitgestellt wurde, sehen Sie sich die nächste Frage an.

Wie ändere ich den AAD-Mandanten, dem meine vorkonfigurierte Lösung und Anwendung für die Remoteüberwachung zugewiesen sind?

Sie können eine Cloudbereitstellung über https://github.com/Azure/azure-iot-remote-monitoring und eine erneute Bereitstellung mit einem neu erstellten AAD-Mandanten ausführen. Da Sie standardmäßig ein globaler Administrator sind, wenn Sie einen AAD-Mandanten erstellen, haben Sie das Recht zum Hinzufügen von Benutzern und Zuweisen von Rollen zu diesen Benutzern.

  1. Erstellen Sie ein AAD-Verzeichnis im Azure-Portal.
  2. Gehe zu https://github.com/Azure/azure-iot-remote-monitoring.
  3. Führen Sie build.cmd cloud [debug | release] {name of previously deployed remote monitoring solution} aus (z. B. build.cmd cloud debug myRMSolution).
  4. Legen Sie bei Aufforderung die tenantid auf den neu erstellten Mandanten anstatt auf den vorherigen Mandanten fest.

Ich möchte bei Anmeldung über ein Organisationskonto einen Dienstadministrator oder Co-Administrator ändern.

Lesen Sie den Artikel Ändern des Dienstadministrators und des Co-Administrators bei Anmeldung über ein Organisationskonto.

Warum wird dieser Fehler angezeigt? „Ihr Konto hat nicht die erforderlichen Berechtigungen zum Erstellen einer Lösung. Wenden Sie sich an den Administrator Ihres Kontos, oder versuchen Sie es mit einem anderen Konto.“

Orientieren Sie sich an folgendem Diagramm:

Hinweis

Wenn Sie den Fehler auch nach der Überprüfung noch sehen und ein globaler Administrator des AAD-Mandanten und ein Co-Administrator des Abonnements sind, können Sie Ihren Kontoadministrator bitten, den Benutzer zu entfernen und die erforderlichen Berechtigungen in dieser Reihenfolge neu zuzuweisen: Fügen Sie zuerst den Benutzer als globalen Administrator hinzu, und fügen Sie den Benutzer dann als Co-Administrator für das Azure-Abonnement hinzu. Verwenden Sie Hilfe und Support, falls die Probleme weiterhin bestehen.

Weshalb wird dieser Fehler angezeigt, wenn ich ein Azure-Abonnement habe? „Zum Erstellen vorkonfigurierter Lösungen ist ein Azure-Abonnement erforderlich. In nur wenigen Minuten können Sie ein kostenloses Testkonto erstellen.“

Wenn Sie sicher sind, dass Sie über ein Azure-Abonnement verfügen, überprüfen Sie die Mandantenzuordnung für Ihr Abonnement, und stellen Sie sicher, dass der ordnungsgemäße Mandant in der Dropdownliste ausgewählt ist. Nachdem Sie überprüft haben, ob der gewünschte Mandant ordnungsgemäß ist, überprüfen Sie anhand des obigen Diagramms die Zuordnung Ihres Abonnements und dieses AAD-Mandanten.

Nächste Schritte

Wenn Sie mehr über IoT Suite erfahren möchten, lesen Sie, wie Sie eine vorkonfigurierte Lösung anpassen.