次の方法で共有

azureiotsuite.com サイトでのアクセス許可

  • [アーティクル]

サインイン時に行われること

ユーザーが azureiotsuite.com に初めてサインインすると、選択されている Azure Active Directory (AAD) テナントと Azure サブスクリプションに基づいて、ユーザーのアクセス許可レベルが決定されます。

  1. サイトは最初に、ログイン ユーザー名の隣に表示されるテナントの一覧を設定するため、Azure からユーザーが属している AAD テナントを取得します。 現時点では、サイトは一度に 1 つのテナントのユーザー トークンしか取得できません。 このため、ユーザーが右上隅のドロップダウンを使用してテナントを切り替えると、サイトはユーザーをそのテナントにログインさせて、そのテナントのトークンを取得します。

  2. 次に、サイトは、ユーザーが選択されているテナントと関連付けているサブスクリプションを Azure から検索します。 ユーザーが新しい構成済みソリューションを作成するときに、使用できるサブスクリプションが表示されます。

  3. 最後に、サイトはサブスクリプション内および構成済みソリューションというタグが付いているリソース グループ内のすべてのリソースを取得して、ホーム ページのタイトルを設定します。

以下のセクションでは、構成済みソリューションへのアクセスを制御するロールについて説明します。

AAD のロール

AAD のロールは、構成済みソリューションをプロビジョニングし、構成済みソリューション内のユーザーを管理する権限を制御します。

ADD の管理者ロールの詳細については、「Azure AD での管理者ロールの割り当て」を参照してください。 この記事では、主に構成済みソリューションで使用されるグローバル管理者ロールとユーザー ディレクトリ ロールに重点を置いて説明しています。

全体管理者

AAD テナントごとに多数のグローバル管理者がいてもかまいません。

  • AAD テナントを作成したユーザーは、既定でそのテナントのグローバル管理者になります。
  • グローバル管理者は、構成済みソリューションをプロビジョニングでき、AAD テナントの内部にあるアプリケーションに対する Admin ロールを割り当てられます。
  • 同じ AAD テナントの別のユーザーがアプリケーションを作成した場合は、グローバル管理者に付与される既定のロールは ReadOnly です。
  • グローバル管理者は、Azure Portal を使用して、アプリケーションに対するロールをユーザーに割り当てることができます。

ドメイン ユーザー

AAD テナントごとに多数のドメイン ユーザーがいてもかまいません。

  • ドメイン ユーザーは azureiotsuite.com サイトを使用して構成済みソリューションをプロビジョニングできます。 プロビジョニングされたアプリケーションでドメイン ユーザーに対して付与される既定のロールは Admin です。
  • ドメイン ユーザーは、azure-iot-remote-monitoring、azure-iot-predictive-maintenance、または azure-iot-connected-factory リポジトリの build.cmd スクリプトを使用してアプリケーションを作成できます。 ロールを割り当てるアクセス許可はドメイン ユーザーにはないので、ドメイン ユーザーに対して既定で付与されるロールは ReadOnly となります。
  • AAD テナントの別のユーザーが作成したアプリケーションに関して、ドメイン ユーザーに既定で割り当てられるロールは ReadOnly です。
  • ドメイン ユーザーがアプリケーションのロールを割り当てることはできません。そのため、自分でプロビジョニングしたアプリケーションであっても、ドメイン ユーザーは、ユーザーまたはユーザーのロールを追加することはできません。

ゲスト ユーザー

AAD テナントごとに多数のゲスト ユーザーがいてもかまいません。 ゲスト ユーザーの AAD テナントでの権限セットは制限されています。 したがって、ゲスト ユーザーは AAD テナントで構成済みソリューションをプロビジョニングできません。

AAD におけるユーザーとロールの詳細については、次のリソースを参照してください。

Azure サブスクリプション管理者ロール

Azure 管理者ロールは、Azure サブスクリプションを AD テナントにマップする機能を制御します。

Azure 管理者ロールの詳細については、Azure 共同管理者、サービス管理者、アカウント管理者を追加または変更する方法に関する記事を参照してください。

アプリケーション ロール

アプリケーション ロールは、構成済みソリューション内のデバイスへのアクセスを制御します。

プロビジョニングしたアプリケーションには、2 つの定義済みロールと 1 つの暗黙ロールが定義されます。

  • Admin: デバイスの追加、管理、削除、および設定の変更をすべて実行できます。
  • ReadOnly: デバイス、ルール、アクション、ジョブ、およびテレメトリを表示できます。

RolePermissions.cs ソース ファイルで、各ロールに割り当てられるアクセス許可を確認できます。

ユーザーのアプリケーション ロールの変更

次の手順を使用して、Active Directory のユーザーを構成済みソリューションの管理者にできます。

ユーザーのロールを変更できるのは、AAD グローバル管理者だけです。

  1. Azure ポータルにアクセスします。
  2. [Azure Active Directory] を選択します。
  3. ソリューションをプロビジョニングしたときに azureiotsuite.com で選択したディレクトリを必ず使用します。 サブスクリプションに複数のディレクトリが関連付けられている場合は、ポータルの右上にあるアカウント名をクリックすることで、ディレクトリを切り替えることができます。
  4. [エンタープライズ アプリケーション][すべてのアプリケーション] の順にクリックします。
  5. 任意の状態のすべてのアプリケーションを表示します。 構成済みのソリューションの名前でアプリケーションを検索します。
  6. 構成済みソリューション名と一致するアプリケーションの名前をクリックします。
  7. [ユーザーとグループ] をクリックします。
  8. ロールを切り替えるユーザーを選択します。
  9. [割り当て] をクリックし、ユーザーに割り当てるロール ([管理者] など) を選択して、チェック マークをクリックします。

よく寄せられる質問

サービス管理者が自分のサブスクリプションと特定の AAD テナントの間のディレクトリ マッピングを変更する必要がある場合は、 どうすればよいですか

既存のサブスクリプションを Azure AD ディレクトリに追加する方法」をご覧ください

AAD テナントのドメイン ユーザー/メンバーが構成済みソリューションを作成した場合、 アプリケーションに対するロールを割り当ててもらうにはどうすればよいですか

グローバル管理者に依頼して AAD テナントでのグローバル管理者を割り当ててもらい、自分でユーザーにロールを割り当てるか、 またはグローバル管理者に直接ロールの割り当てを依頼します。 構成済みソリューションをデプロイした AAD テナントを変更したい場合は、次の質問を参照してください。

リモート監視構成済みソリューションおよびアプリケーションが割り当てられている AAD テナントを切り替えるにはどうすればよいですか

https://github.com/Azure/azure-iot-remote-monitoring からクラウドのデプロイを実行でき、新しく作成した AAD テナントで再デプロイできます。 新しい AAD テナントを作成したユーザーは既定でグローバル管理者になるので、ユーザーを追加し、ユーザーにロールを割り当てることができます。

  1. Azure ポータルで AAD ディレクトリを作成します。
  2. https://github.com/Azure/azure-iot-remote-monitoring にアクセスします。
  3. build.cmd cloud [debug | release] {name of previously deployed remote monitoring solution} を実行します (例: build.cmd cloud debug myRMSolution)
  4. プロンプトが表示されたら、古いテナントの代わりに新しく作成したテナントの tenantid を設定します。

組織アカウントでログインするときにサービス管理者または共同管理者を変更するにはどうすればよいですか

組織アカウントを利用してログインしたときのサービス管理者および共同管理者の変更」を参照してください。

次のエラーが表示されるのはなぜですか。 「お使いのアカウントにはソリューションを作成する適切なアクセス許可がありません。 アカウント管理者に確認するか、別のアカウントを使用してください。」

次の図を見てみましょう。

注意

自分が AAD テナントの全体管理者になっていることとサブスクリプションの共同管理者になっていることを確認した後もエラーが表示される場合は、ユーザーを削除してから必要なアクセス許可を再度割り当てるよう、アカウント管理者に依頼してください。 その場合はまず、ユーザーを全体管理者として追加したうえで、Azure サブスクリプションの共同管理者としてそのユーザーを追加することになります。 問題が解決しない場合は、ヘルプとサポートにお問い合わせください。

Azure サブスクリプションがあるのに次のエラーが表示されるのはなぜですか。 「構成済みソリューションを作成するには Azure サブスクリプションが必要です。 数分で無料試用版のアカウントを作成することができます。」

Azure サブスクリプションが確かにある場合は、サブスクリプションのテナント マッピングを調べ、ドロップダウンで正しいテナントが選択されていることを確認してください。 目的のテナントが正しいことを確認できた場合は、上の図に従って、サブスクリプションとこの AAD テナントのマッピングを確認してください。

次の手順

IoT Suite について引き続き学習するには、構成済みソリューションをカスタマイズする方法を参照してください。