同步 Grafana 小組與 Microsoft Entra 群組 (預覽)

在本指南中，您會了解如何搭配使用 Microsoft Entra 群組與 Grafana Team Sync (Microsoft Entra 群組同步處理) 以在 Azure 受控 Grafana 中設定儀表板權限。 Grafana 可讓您控制其資源在多個層級的存取。 在受控 Grafana 中，您會使用 Grafana 的內建 Azure RBAC 角色來定義使用者所擁有的存取權限。 這些權限預設會套用至 Grafana 工作區中的所有資源。 例如，您無法使用 RBAC，只將一個特定儀表板的編輯權限授與某個人。 若將使用者指派給 Grafana 編輯者角色，則該使用者可以變更您 Grafana 工作區中的任何儀表板。 使用 Grafana 的細微權限模型，您可以提升或降低使用者對特定儀表板 (或儀表板資料夾) 的預設權限層級。

在受控 Grafana 中為個別使用者設定儀表板權限有點棘手。 受控 Grafana 會在 Microsoft Entra ID 中儲存其內建 RBAC 角色的使用者指派。 基於效能考量，其不會自動將使用者指派同步處理至 Grafana 工作區。 這些角色中的使用者除非登入過一次，否則不會顯示在 Grafana 的 [設定] UI 中。 您只能在使用者出現在 [設定] 的 Grafana 使用者清單中之後，才能授與其額外的權限。 Microsoft Entra 群組同步可解決此問題。 使用此功能，在與 Microsoft Entra 群組連結的 Grafana 工作區中建立「Grafana 小組」。 接著，使用該小組來設定儀表板權限。 例如，您可以授與檢視人員一些權限，使其可以修改儀表板或者阻止編輯者進行變更。 您不需要個別管理小組的成員清單，因為其成員資格已定義在相關聯的 Microsoft Entra 群組中。

重要

Microsoft Entra 群組同步目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定，以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版，或尚未正式發行的版本) 的法律條款。

設定 Microsoft Entra 群組同步

若要使用 Microsoft Entra 群組同步，您可以將新的小組新增至 Grafana 工作區，然後透過群組識別碼，將該小組連結至現有的 Microsoft Entra 群組。 請遵循下列步驟來設定 Microsoft Entra 支援的 Grafana 小組。

1. 在 Azure 入口網站中，開啟您的 Grafana 執行個體，然後在 [設定] 下方選取 [設定]。。

2. 選取 [Microsoft Entra 小組同步設定] 索引標籤。

3. 選取 [+ 建立新的 Grafana 小組]。

   

4. 輸入 Grafana 小組的名稱，然後選取 [新增]。

   

5. 在 [存取權指派對象為] 中，選取新建立的 Grafana 小組。

6. 選取 [+ 新增 Microsoft Entra 群組]。

7. 在搜尋方塊中，輸入 Microsoft Entra 群組名稱，然後在結果中選取群組名稱。 按一下 [選取] 以進行確認。

   

8. 重複上述三個步驟，視需要將更多 Microsoft Entra 群組新增至 Grafana 小組。

移除 Microsoft Entra 群組同步

如果您不再需要 Grafana 小組，則請遵循下列步驟將其刪除。 刪除 Grafana 小組也會移除 Microsoft Entra 群組的連結。

1. 在 Azure 入口網站中，開啟 Azure 受控 Grafana 工作區。

2. 選取 [系統管理 > 小組]。

3. 選取您要刪除的小組右側的 [X] 按鈕。

   

4. 請選取刪除，確認刪除。

下一步

在本操作指南中，您已了解如何設定 Microsoft Entra 群組所支援的 Grafana 小組。 若要了解如何使用小組來控制對工作區中儀表板的存取，請參閱管理儀表板權限。