你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
管理 IoT Central 应用程序中的用户和角色
本文介绍如何在 Azure IoT Central 应用程序中添加、编辑和删除用户。 本文还介绍了如何管理应用程序中的角色。
只有 Azure IoT Central 应用程序的“应用管理员”角色或者包含管理权限的自定义角色才能访问和使用“权限”部分。 如果你创建了 Azure IoT Central 应用程序,你将自动添加到该应用程序的“应用管理员”角色。
若要了解如何使用 IoT Central REST API 管理用户和角色,请参阅如何使用 IoT Central REST API 管理用户和角色。
添加用户
每个用户必须有一个用户帐户才能登录和访问应用程序。 IoT Central 支持 Microsoft 用户帐户、Microsoft Entra 帐户、Microsoft Entra 组和 Microsoft Entra 服务主体。 有关详细信息,请参阅 Microsoft 帐户帮助和快速入门:将新用户添加到 Microsoft Entra ID。
若要将用户添加到 IoT Central 应用程序,请转到“权限”部分中的“用户”页:
若要在“用户”页中添加用户,选择“+ 分配用户”。 若要在“用户”页中添加服务主体,选择“+ 分配服务主体”。 若要在“用户”页上添加 Microsoft Entra 组,请选择“+ 分配组”。 开始键入 Active Directory 组或服务主体的名称以自动填充表单。
注意
服务主体和 Active Directory 组必须与和 IoT Central 应用程序关联的 Azure 订阅属于同一 Microsoft Entra 租户。
如果你的应用程序使用组织,请从“组织”下拉菜单中选择要分配给用户的组织。
从“角色”下拉菜单中为用户选择一个角色。 在本文的管理角色部分中详细了解角色:
可用角色取决于用户相关联的组织。 可以将“应用”角色分配给与根组织相关联的用户,将“组织”角色分配给与层次结构中任何其他组织相关联的用户。
注意
对于充当自定义角色的用户,如果该角色授予该用户添加其他用户的权限,则该用户只能将其他用户添加到权限与自身角色相同或更低的角色。
当你邀请新用户时,需要与他们共享应用程序 URL,并要求他们登录。 用户首次登录后,该应用程序会出现在用户的“我的应用”页中。
注意
如果从 Microsoft Entra ID 中删除了某用户,然后再将其添加回来,则该用户将无法登录 IoT Central 应用程序。 若要重新启用访问权限,应用程序的管理员也应在应用程序中删除并重新添加该用户。
以下限制适用于 Microsoft Entra 组和服务主体:
- 每个 IoT Central 应用程序的 Microsoft Entra 组总数不能超过 20。
- 来自同一 Microsoft Entra 租户的唯一 Microsoft Entra 组总数在所有 IoT Central 应用程序之间不能超过 200。
- 属于 Microsoft Entra 组的服务主体不会被自动授予对应用程序的访问权限。 必须显式添加服务主体。
编辑分配给用户的角色和组织
在分配角色和组织后,无法更改它们。 若要更改分配给某个用户的角色或组织,请删除该用户,然后使用不同的角色或组织再次添加该用户。
注意
分配的角色特定于 IoT Central 应用程序,无法从 Azure 门户进行管理。
删除用户
若要删除用户,选择“用户”页上的一个或多个复选框。 然后选择“删除”。
管理角色
使用角色可以控制组织中的哪些人可以在 IoT Central 中执行各种任务。 可将三种内置角色分配给应用程序的用户。 如果需要更精细的控制,还可以创建自定义角色。
应用管理员
具有“应用管理员”角色的用户可以管理并控制应用程序的每个部分,包括计费。
创建应用程序的用户会自动分配到“应用管理员”角色。 必须始终有至少一名用户具有“应用管理员”角色。
应用生成器
具有“应用构建者”角色的用户可以管理应用的每个部分,但不能在“应用程序”或“数据导出”选项卡上进行更改。
应用操作员
具有“应用操作员”角色的用户可以监视设备运行状况和状态。 他们不能对设备模板进行更改,也不能管理应用程序。 操作员可以添加和删除设备、管理设备集,以及运行分析和作业。
组织管理员
在你向应用程序添加组织时,IoT Central 会自动添加此角色。 此角色限制组织管理员访问某些应用程序范围的功能,例如计费、品牌、颜色、API 令牌以及注册组信息。
具有“组织管理员”角色的用户可以邀请用户加入应用程序、在其组织层次结构内创建子组织,以及管理其组织内的设备。
组织操作员
在你向应用程序添加组织时,IoT Central 会自动添加此角色。 此角色限制组织操作员访问某些应用程序范围的功能。
具有“组织操作员”角色的用户可以完成添加设备、运行命令、查看设备数据、创建仪表板,以及创建设备组等任务。
组织查看者
在你向应用程序添加组织时,IoT Central 会自动添加此角色。
具有“组织查看者”角色的用户可以查看设备及其数据、组织仪表板、设备组,以及设备模板等项。
创建自定义角色
如果解决方案需要更精细的访问控制,可以创建拥有自定义权限集的角色。 若要创建自定义角色,请导航到应用程序的“权限”部分中的“角色”页面,然后选择以下选项之一:
- 选择“+ 新建”、为角色添加名称和说明,然后选择“应用程序”或“组织”作为角色类型。 此选项使你能够从头开始创建角色定义。
- 导航到现有角色,然后选择“复制”。 通过此选项,可以从能够自定义的现有角色定义开始。
警告
在创建角色后,不能更改角色类型。
邀请用户加入你的应用程序时,如果将用户与以下项相关联:
- 如果与根组织相关联,那么仅“应用程序”角色可用。
- 如果与任何其他组织相关联,那么仅“组织”角色可用。
可将用户添加到自定义角色,如同将用户添加到内置角色一样。
自定义角色选项
定义自定义角色时,如果某个用户是该角色的成员,请选择要授予该用户的权限集。 某些权限依赖于其他权限。 例如,如果将“更新个人仪表板”权限添加到某个角色,则会自动添加“查看个人仪表板”权限。 下表汇总了在创建自定义角色时可以使用的权限及其依赖项。
管理设备
设备模板权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 |
| 管理 | 视图 其他依赖项:查看设备实例 |
| 完全控制 | 查看、管理 其他依赖项:查看设备实例 |
设备实例权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 其他依赖项:查看设备模板和设备组 |
| 更新 | 视图 其他依赖项:查看设备模板和设备组 |
| 创建 | 视图 其他依赖项:查看设备模板和设备组 |
| 删除 | 视图 其他依赖项:查看设备模板和设备组 |
| 执行命令 | 更新、查看 其他依赖项:查看设备模板和设备组 |
| 查看原始数据 | 视图 其他依赖项:查看设备模板和设备组 |
| 查看上传的设备文件 | 视图 其他依赖项:查看设备模板和设备组 |
| 删除上传的设备文件 | 视图 其他依赖项:查看设备模板和设备组 |
| 完全控制 | 查看、更新、创建、删除、执行命令、查看原始数据 其他依赖项:查看设备模板和设备组 |
设备组权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 其他依赖项:查看设备模板和设备实例 |
| 更新 | 视图 其他依赖项:查看设备模板和设备实例 |
| 创建 | 查看、更新 其他依赖项:查看设备模板和设备实例 |
| 删除 | 视图 其他依赖项:查看设备模板和设备实例 |
| 完全控制 | 查看、更新、创建、删除 其他依赖项:查看设备模板和设备实例 |
设备连接管理权限
| 名称 | 依赖项 |
|---|---|
| 读取实例 | 无 其他依赖项:查看设备模板、设备组和设备实例 |
| 管理实例 | 读取实例 其他依赖项:查看设备模板、设备组和设备实例 |
| 全局读取 | 无 |
| 全局管理 | 全局读取 |
| 完全控制 | 读取实例、管理实例、全局读取、全局管理 其他依赖项:查看设备模板、设备组和设备实例 |
Edge 部署清单
| 名称 | 依赖项 |
|---|---|
| 读取实例 | 无 其他依赖项:查看设备模板、设备组和设备实例 |
| 管理实例 | 读取实例 其他依赖项:查看设备模板、设备组和设备实例 |
| 全局读取 | 无 |
| 全局管理 | 全局读取 |
| 完全控制 | 读取实例、管理实例、全局读取、全局管理 其他依赖项:查看设备模板、设备组和设备实例。 更新设备实例 |
作业权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 其他依赖项:查看设备模板、设备实例和设备组 |
| 更新 | 视图 其他依赖项:查看设备模板、设备实例和设备组 |
| 创建 | 查看、更新 其他依赖项:查看设备模板、设备实例和设备组 |
| 删除 | 视图 其他依赖项:查看设备模板、设备实例和设备组 |
| 执行 | 视图 其他依赖关系:查看设备模板、设备实例和设备组;更新设备实例;对设备实例执行命令 |
| 完全控制 | 查看、更新、创建、删除、执行 其他依赖关系:查看设备模板、设备实例和设备组;更新设备实例;对设备实例执行命令 |
规则权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 其他依赖项:查看设备模板 |
| 更新 | 视图 其他依赖项:查看设备模板 |
| 创建 | 查看、更新 其他依赖项:查看设备模板 |
| 删除 | 视图 其他依赖项:查看设备模板 |
| 完全控制 | 查看、更新、创建、删除 其他依赖项:查看设备模板 |
管理应用
应用程序设置权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 |
| 更新 | 查看 |
| 复制 | 视图 其他依赖项:查看设备模板、设备实例、设备组、仪表板、数据导出、品牌、帮助链接、自定义角色、规则 |
| 删除 | 查看 |
| 完全控制 | 查看、更新、复制、删除 其他依赖项:查看设备模板、设备组、应用程序仪表板、数据导出、品牌、帮助链接、自定义角色、规则 |
应用程序模板导出权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 |
| 导出 | 视图 其他依赖项:查看设备模板、设备实例、设备组、仪表板、数据导出、品牌、帮助链接、自定义角色、规则 |
| 完全控制 | 查看、导出 其他依赖项:查看设备模板、设备组、应用程序仪表板、数据导出、品牌、帮助链接、自定义角色、规则 |
设备文件上传权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 |
| 管理 | 查看 |
| 完全控制 | 查看、管理 |
计费权限
| 名称 | 依赖项 |
|---|---|
| 管理 | 无 |
| 完全控制 | 管理 |
审核日志权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 |
| 完全控制 | 视图 |
注意
任何被授予查看审核日志的权限的用户都可以查看所有日志条目,即使他们无权查看或修改日志中列出的实体。 因此,任何可以查看日志的用户都可以查看任何已修改实体的标识和对其所做的更改。
管理用户和角色
自定义角色权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 |
| 更新 | 查看 |
| 创建 | 查看、更新 |
| 删除 | 查看 |
| 完全控制 | 查看、更新、创建、删除 |
用户管理权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 其他依赖项:查看自定义角色 |
| 添加 | 视图 其他依赖项:查看自定义角色 |
| 删除 | 视图 其他依赖项:查看自定义角色 |
| 完全控制 | 查看、添加、删除 其他依赖项:查看自定义角色 |
组织管理权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 |
| 更新 | 查看 |
| 创建 | 查看、更新 |
| 删除 | 查看 |
| 完全控制 | 查看、更新、创建、删除 |
注意
对于充当自定义角色的用户,如果该角色授予该用户添加其他用户的权限,则该用户只能将其他用户添加到权限与自身角色相同或更低的角色。
自定义应用
应用程序仪表板权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 |
| 更新 | 查看 |
| 创建 | 查看、更新 |
| 删除 | 查看 |
| 完全控制 | 查看、更新、创建、删除 |
个人仪表板权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 |
| 更新 | 查看 |
| 创建 | 查看、更新 |
| 删除 | 查看 |
| 完全控制 | 查看、更新、创建、删除 |
数据资源管理器权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 其他依赖项:查看设备组、设备模板和设备实例 |
| 更新 | 视图 其他依赖项:查看设备组、设备模板和设备实例 |
| 创建 | 查看、更新 其他依赖项:查看设备组、设备模板和设备实例 |
| 删除 | 视图 其他依赖项:查看设备组、设备模板和设备实例 |
| 完全控制 | 查看、更新、创建、删除 其他依赖项:查看设备组、设备模板和设备实例 |
品牌、网站图标和颜色权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 |
| 更新 | 查看 |
| 完全控制 | 查看、更新 |
帮助链接权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 |
| 更新 | 查看 |
| 完全控制 | 查看、更新 |
扩展应用
数据导出权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 |
| 更新 | 查看 |
| 创建 | 查看、更新 |
| 删除 | 查看 |
| 完全控制 | 查看、更新、创建、删除 |
API 令牌权限
| 名称 | 依赖项 |
|---|---|
| 查看 | 无 其他依赖项:查看自定义角色 |
| 创建 | 视图 其他依赖项:查看自定义角色 |
| 删除 | 视图 其他依赖项:查看自定义角色 |
| 完全控制 | 查看、创建、删除 其他依赖项:查看自定义角色 |