設定 Azure Digital Twins 執行個體和驗證 (入口網站)
本文涵蓋設定新 Azure Digital Twins 執行個體的步驟,包括建立執行個體和設定驗證。 完成本文之後,您將得到一個能讓您進行程式設計的 Azure Digital Twins 執行個體。
本文的這個版本會使用 Azure 入口網站,手動逐一執行這些步驟。 「Azure 入口網站」是統一的 Web 式主控台,提供有別於命令列工具的替代方案。
新 Azure Digital Twins 執行個體的完整設定包含兩個部分:
- 建立執行個體
- 設定使用者存取權限:Azure 使用者必須具備 Azure Digital Twins 執行個體的 Azure Digital Twins 資料擁有者角色,才能該執行個體及其資料。 在此步驟中,您作為 Azure 訂閱的擁有者/系統管理員,會將此角色指派給要管理 Azure Digital Twins 執行個體的人員。 這可能是您自己或您組織中的其他人員。
重要
若要完成此文章並完整安裝可用的執行個體,您需要管理 Azure 訂閱上的資源和使用者存取權的權限。 第一個步驟可由任何能在訂閱上建立資源的人員完成,但第二個步驟需要使用者存取權的管理權限 (或與擁有這些權限的人員合作)。 如需詳細資訊,請參閱使用者存取權限步驟的必要條件:必要權限一節。
建立 Azure Digital Twins 執行個體
在本節中,您將使用 Azure 入口網站建立 Azure Digital Twins 的新執行個體。 瀏覽至入口網站,並使用您的認證登入。
一旦在入口網站中,請從在 Azure 服務首頁功能表中選取 [建立資源] 開始。
在搜尋方塊中搜尋 azure digital twins,然後從結果中選擇 Azure Digital Twins 服務。
將 [方案] 欄位保留為 Azure Digital Twins,然後選取 [建立] 按鈕以開始建立服務的新執行個體。
在下列 [建立資源] 頁面上,填入下列值:
- 訂用帳戶:您正在使用的 Azure 訂用帳戶
- 資源群組:要部署執行個體的資源群組。 如果您還沒有現有的資源群組,您可以選取 [新建] 連結並輸入新資源群組的名稱,在這裡建立一個資源群組
- 位置:已啟用 Azure Digital Twins 的待部署區域。 如需有關區域支援的詳細資料,請造訪 依區域提供的 Azure 產品 (Azure Digital Twins)。
- 資源名稱:Azure Digital Twins 執行個體的名稱。 如果您的訂用帳戶在某區域中已有另一個 Azure Digital Twins 執行個體使用了指定的名稱,系統會要求您挑選不同的名稱。
- 授與資源的存取權:核取本節中的方塊,會將存取和管理執行個體中資料的權限授與 Azure 帳戶。 如果您是管理執行個體的人員,則現在應該核取此方塊。 如果因為您在訂用帳戶中沒有權限而呈現灰色,您可以繼續建立資源,並讓具有必要權限的人員稍後授與您角色。 如需此角色和指派角色給執行個體的詳細資訊,請參閱下一節:設定使用者存取權限。
- 訂用帳戶:您正在使用的 Azure 訂用帳戶
當您完成時,如果您不想再為執行個體設定任何設定,可以選取 [檢閱 + 建立]。 這麼做會帶您前往摘要頁面,您可以在其中檢閱您已輸入的執行個體詳細資料,並且完成 [建立]。
如果您想要為執行個體設定更多詳細資料,下一節將會說明其餘的設定索引標籤。
其他設定選項
以下是您可以在安裝期間使用 [建立資源] 程序中的其他索引標籤設定的其他選項。
- 網路功能:在此索引標籤上,您可啟用私人端點的 Azure Private Link,以免執行個體對公用網路公開。 如需指示,請參閱使用 Private Link 啟用私人存取。
- 進階:在此索引標籤中,您可以啟用執行個體的系統指派受控識別。 啟用此功能時,Azure 會自動在 Microsoft Entra ID 中建立執行個體的身分識別,此身分識別可用來向其他服務進行驗證。 您可以在此處建立執行個體時,或稍後在現有執行個體上,啟用該系統指派的受控識別。 如果您想要改為啟用使用者指派的受控識別,您必須稍後在現有的執行個體上執行此作業。
- 標記:在此索引標籤中,您可將標籤新增至執行個體,以便管理 Azure 資源中的該執行個體。 如需 Azure 資源標記的詳細資訊,請參閱標記邏輯組織的資源、資源群組和訂用帳戶。
確認是否成功並收集重要的值
選取 [建立] 完成執行個體設定之後,您可以沿著入口網站圖示列,在 Azure 通知中檢視執行個體部署的狀態。 通知會指出部署成功的時間,此時您可以選取 [移至資源] 按鈕來檢視已建立的執行個體。
如果部署失敗,通知將會指出原因。 請觀察錯誤訊息中的建議,然後重試建立執行個體。
提示
建立執行個體之後,您隨時都可以在 Azure 入口網站搜尋列中搜尋執行個體的名稱,返回其頁面。
從執行個體的 [概觀] 頁面中,記下其 [名稱]、[資源群組] 和 [主機名稱]。 這些值都很重要,而且您可能需要在繼續使用 Azure Digital Twins 執行個體時使用這些值。 如果其他使用者要對此執行個體進行程式設計,您應該與他們分享這些值。
您現在已備妥 Azure Digital Twins 執行個體。 接下來,您會將管理權限授與適當的 Azure 使用者。
設定使用者存取權限
Azure Digital Twins 會使用 Microsoft Entra ID 作為角色型存取控制 (RBAC)。 這表示使用者必須先具備適當權限的角色指派,才能對 Azure Digital Twins 執行個體進行資料平面呼叫。
對 Azure Digital Twins 而言,這個角色為 Azure Digital Twins 資料擁有者。 如需角色和安全性的詳細資訊,請參閱 Azure Digital Twins 解決方案的安全性。
注意
此角色不同於 Microsoft Entra ID 的「擁有者」角色 (也可在 Azure Digital Twins 執行個體範圍內指派)。 這兩個管理角色有所不同,因為擁有者沒有資料平面功能的存取權,而 Azure Digital Twins 資料擁有者則具備該存取權。
本章節將說明如何在 Azure 訂用帳戶的 Microsoft Entra 租用戶中使用某個使用者的電子郵件,在您的 Azure Digital Twins 執行個體中為該使用者建立角色指派。 根據您在您組織中的角色,您可以為自己設定此權限,或代表其他將要管理 Azure Digital Twins 執行個體的人員來進行設定。
有兩種方式可以為 Azure Digital Twins 中的使用者建立角色指派:
兩者都需要相同的權限。
必要條件:權限需求
若要完成下列步驟,您的訂閱中必須有具備以下權限的角色:
- 建立和管理 Azure 資源
- 管理使用者的 Azure 資源存取權 (包含授與和委派權限)
符合此需求的常見角色包括:擁有者、帳戶管理員,或使用者存取管理員與參與者的組合。 如需角色和權限的完整說明,包括其他角色所擁有的權限,請參閲 Azure RBAC 文件中的 Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色。
若要在訂閱中檢視您的角色,請至 Azure 入口網站中的訂閱頁面 (您可以使用這個連結,或尋找入口網站搜尋列中的 [訂閱])。 尋找您正在使用的訂閱的名稱,然後在 [我的角色] 資料行中檢視您的角色:
如果您發現該值為參與者或其他沒有上述必要權限的角色,您可以連絡訂閱中具有該權限的使用者 (如訂閱擁有者或帳戶管理員),然後以下列方式之一繼續:
- 要求他們代表您完成角色指派的步驟。
- 要求他們在訂閱上提高您的角色限,讓您擁有自己繼續執行的權限。 此作法是否適當,取決於您的組織及您在組織內的角色。
在執行個體建立期間指派角色
透過本文稍早所述的程序建立 Azure Digital Twins 資源時,請選取 [授與資源的存取權] 底下的 [指派 Azure Digital Twins 資料擁有者角色]。 這麼做會將資料平面 API 的完整存取權授與自己。
如果您沒有將角色指派給身分識別的權限,則方塊會呈現灰色。
在此情況下,您仍然可以繼續成功建立 Azure Digital Twins 資源,但是具有適當權限的人員必須將此角色指派給您或管理執行個體資料的人員。
使用 Azure Identity Management (IAM) 指派角色
您也可以使用 Azure Identity Management (IAM) 中的存取控制選項來指派 Azure Digital Twins 資料擁有者角色。
首先,在 Azure 入口網站中,開啟您的 Azure Digital Twins 執行個體頁面。
選取 [存取控制 (IAM)]。
選取 [新增 > 角色指派 ] 以開啟 [新增角色指派] 頁面。
指派 Azure Digital Twins 資料擁有者角色。 如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色。
設定 值 角色 Azure Digital Twins 資料擁有者 存取權指派對象 使用者、群組或服務主體 成員 搜尋要指派的使用者名稱或電子郵件地址
確認是否成功
您可以在 [存取控制 (IAM)] > [角色指派] 下檢視已設定的角色指派。 使用者應該會顯示在清單中,並具有 Azure Digital Twins 資料擁有者的角色。
您現在已經備妥 Azure Digital Twins 執行個體,並且得到了管理權限。
啟用/停用執行個體的受控識別
本章節會說明如何將受控識別 (無論是系統指派還是使用者指派) 新增至現有的 Azure Digital Twins 執行個體。 您也可以使用此頁面來在已有受控識別的執行個體上停用受控識別。
從在瀏覽器中開啟 Azure 入口網站開始。
在入口網站搜尋列中搜尋執行個體的名稱,然後加以選取以檢視其詳細資料。
在左側功能表中,選取 [身分識別]。
使用索引標籤來選取您要新增或移除的受控識別類型。
系統指派:選取此索引標籤之後,請選取 [開啟] 選項以開啟此功能,或 [關閉] 以將其移除。
選取 [儲存] 按鈕,然後選取 [是] 以確認。 開啟系統指派的身分識別之後,此頁面會顯示更多欄位,其中顯示新身分識別的 物件識別碼 和 權限 (Azure 角色指派)。
使用者指派 (預覽):選取此索引標籤之後,請選取 [關聯使用者指派的受控識別] ,並遵循提示選擇要與執行個體相關聯的身分識別。
或者,如果這裡已經列出您想要停用的身分識別,您可以在清單中核取其旁邊的方塊,並 移除 它。
新增身分識別之後,您可以從此處的清單選取其名稱,以開啟其詳細資料。 您可以從其詳細資料頁面檢視其 物件識別碼,並使用左側功能表來查看其 Azure 角色指派。
停用受控識別的考量
請務必要考量針對身分識別或其角色的變更,對於使用該身分識別的資源會造成什麼影響。 如果您是用 Azure Digital Twins 端點來使用受控識別 ,或是將受控識別用於資料歷程記錄 ,當身分識別停用或必要角色被從中移除時,端點或資料歷程記錄連線可能會變得無法存取,而事件流程將會中斷。
下一步
使用 Azure Digital Twins CLI 命令在執行個體上測試個別 REST API 呼叫:
或者,請參閱如何利用驗證碼將用戶端應用程式連線到您的執行個體: