設定 Azure Digital Twins 實例和驗證（入口網站）

發行項
10/27/2023

本文涵蓋設定新的 Azure Digital Twins 實例的步驟，包括建立實例和設定驗證。完成本文之後，您將有一個 Azure Digital Twins 實例可供開始進行程式設計。

本文的這個版本會使用 Azure 入口網站，手動執行這些步驟。「Azure 入口網站」是統一的 Web 式主控台，提供有別於命令列工具的替代方案。

新 Azure Digital Twins 實例的完整設定包含兩個部分：

建立實例
設定使用者存取權限：Azure 使用者必須在 Azure Digital Twins 實例上擁有 Azure Digital Twins 資料擁有者 角色，才能管理它及其資料。在此步驟中，身為 Azure 訂用帳戶的擁有者/系統管理員，會將此角色指派給將管理 Azure Digital Twins 實例的人員。這可能是您自己或組織中的其他人。

重要

若要完成此完整文章並完整設定可使用的實例，您需要許可權來管理 Azure 訂用帳戶上的資源和使用者存取權。第一個步驟可由任何能夠在訂用帳戶上建立資源的人完成，但第二個步驟需要使用者存取管理許可權（或具有這些許可權的人員合作）。您可以在使用者存取權限步驟的必要條件：必要許可權一節中進一步閱讀此內容。

建立 Azure Digital Twins 實例

在本節中，您將使用 Azure 入口網站建立 Azure Digital Twins 的新實例。流覽至入口網站，並使用您的認證登入。

在入口網站中，從在 Azure 服務首頁功能表中選取 [建立資源 ] 開始。
在搜尋方塊中搜尋 Azure 數位對應項 ，然後從結果中選擇 Azure Digital Twins 服務。

將 [ 計畫] 欄位保留為 [Azure Digital Twins ]，然後選取 [ 建立 ] 按鈕以開始建立服務的新實例。

在下列 [建立資源] 頁面上，填入下列值：
- 訂用帳戶：您使用的 Azure 訂用帳戶
  - 資源群組 ：要在其中部署實例的資源群組。如果您還沒有現有的資源群組，您可以選取 [建立新 連結] 並輸入新資源群組的名稱，在這裡 建立一個資源群組
- 位置：適用于部署的 Azure Digital Twins 區域。如需區域支援的詳細資訊，請流覽區域提供的 Azure 產品（Azure Digital Twins）。
- 資源名稱 ：Azure Digital Twins 實例的名稱。如果您的訂用帳戶在已經使用指定名稱的區域中有另一個 Azure Digital Twins 實例，系統會要求您挑選不同的名稱。
- 授與資源的 存取權：核取本節中的方塊會授與 Azure 帳戶存取和管理實例中的資料許可權。如果您是要管理實例的實例，您應該立即核取此方塊。如果它呈現灰色，因為您沒有訂用帳戶的許可權，您可以繼續建立資源，並讓具有必要許可權的人員稍後授與您角色。如需此角色和將角色指派給實例的詳細資訊，請參閱下一節：設定使用者存取權限。
當您完成時，如果您不想為實例設定更多設定，可以選取 [ 檢閱 + 建立 ]。這麼做會帶您前往摘要頁面，您可以在其中檢閱您已輸入並完成建立的實例詳細資料。

如果您想要為實例設定更多詳細資料，下一節將說明其餘的設定索引標籤。

其他設定選項

以下是您可以在安裝期間設定的其他選項，使用建立資源 程式中的其他索引標籤 。

網路功能：在此索引標籤中，您可以使用 Azure Private Link 啟用私人端點，以消除對實例的公用網路暴露。如需指示，請參閱使用 Private Link 啟用私人存取。
進階：在此索引標籤中，您可以為您的實例啟用系統指派的受控識別。啟用此功能時，Azure 會自動在 Microsoft Entra ID 中建立實例的身分識別，以用來向其他服務進行驗證。您可以在此處建立實例時，或稍後在現有實例上啟用該系統指派的受控識別。如果您想要改為啟用使用者指派的受控識別，您稍後必須在現有的實例上執行此作業。
標籤：在此索引標籤中，您可以將標籤新增至實例，以協助您在 Azure 資源之間組織標籤。如需 Azure 資源標籤的詳細資訊，請參閱標記邏輯組織的資源、資源群組和訂用帳戶。

確認成功並收集重要值

選取 [建立 ] 完成實例設定之後，您可以沿著入口網站圖示列，在 Azure 通知中檢視實例部署的狀態。通知會指出部署成功的時間，此時您可以選取 [移至資源 ] 按鈕來檢視已建立的實例。

Screenshot of the Azure notifications showing a successful deployment and highlighting the 'Go to resource' button in the Azure portal.

如果部署失敗，通知會指出原因。請觀察錯誤訊息的建議，然後重試建立實例。

提示

建立實例之後，您可以隨時在 Azure 入口網站搜尋列中搜尋實例的名稱，以返回其頁面。

從實例的 [ 概觀] 頁面中，記下其 [名稱 ]、 [資源群組 ] 和 [ 主機名稱 ]。這些值都很重要，當您繼續使用 Azure Digital Twins 實例時，您可能需要使用這些值。如果其他使用者將針對實例進行程式設計，您應該與他們共用這些值。

Screenshot of the Azure portal, highlighting the important values from the Azure Digital Twins instance's Overview page.

您現在已備妥 Azure Digital Twins 實例。接下來，您將提供適當的 Azure 使用者許可權來管理它。

設定使用者存取權限

Azure Digital Twins 會使用 Microsoft Entra ID 進行角色型存取控制（RBAC）。這表示使用者必須先為其指派具有適當許可權的角色，使用者才能對 Azure Digital Twins 實例進行資料平面呼叫。

對 Azure Digital Twins 而言，這個角色為 Azure Digital Twins 資料擁有者。您可以在 Azure Digital Twins 解決方案的安全性中深入瞭解角色和安全性。

注意

此角色與 Microsoft Entra ID 擁有者 角色不同，此角色也可以在 Azure Digital Twins 實例的範圍內指派。這些是兩個不同的管理角色，而擁有者不會授與 Azure Digital Twins 資料擁有者授與 資料平面功能的存取權 。

本節將說明如何使用 Azure 訂用帳戶上 Microsoft Entra 租使用者中的該使用者電子郵件，為 Azure Digital Twins 實例中的使用者建立角色指派。視您在組織中的角色而定，您可以自行設定此許可權，或代表將管理 Azure Digital Twins 實例的其他人進行設定。

在 Azure Digital Twins 中建立使用者的角色指派有兩種方式：

在 Azure Digital Twins 實例建立期間
使用 Azure 身分識別管理（IAM）

兩者都需要相同的許可權。

必要條件：許可權需求

若要能夠完成下列步驟，您必須在訂用帳戶中具有下列許可權的角色：

建立和管理 Azure 資源
管理使用者對 Azure 資源的存取權（包括授與和委派許可權）

符合此需求的常見角色包括 擁有者 、 帳戶管理員 或使用者存取管理員istrator 和 參與者 的組合 。如需角色和許可權的完整說明，包括其他角色所包含的許可權、流覽 Azure 角色、Microsoft Entra 角色，以及 Azure RBAC 檔中的傳統訂用帳戶管理員角色。

若要在訂用帳戶中檢視您的角色，請流覽 Azure 入口網站中的訂用帳戶頁面（您可以使用此連結，或使用入口網站搜尋列尋找訂用帳戶）。尋找您使用的訂用帳戶名稱，並在 [ 我的角色] 資料行中檢視您的角色 ：

如果您發現此值為 參與者 ，或沒有上述必要許可權的另一個角色，您可以連絡訂用帳戶上具有這些許可權的使用者（例如訂用帳戶擁有者或帳戶管理員），然後以下列其中一種方式繼續進行：

要求他們代表您完成角色指派步驟。
要求他們在訂用帳戶上提升您的角色，以便您擁有繼續自己的許可權。這是否適當，取決於您的組織及其內的角色。

在實例建立期間指派角色

透過本文稍早所述的程式建立 Azure Digital Twins 資源時，請選取 [授與資源的 存取權] 底下的 [指派 Azure Digital Twins 資料擁有者角色 ]。這麼做會將資料平面 API 的完整存取權授與自己。

Screenshot of the Create Resource process for Azure Digital Twins in the Azure portal. The checkbox under Grant access to resource is highlighted.

如果您沒有將角色指派給身分識別的許可權，此方塊會顯示為灰色。

Screenshot of the Create Resource process for Azure Digital Twins in the Azure portal. The checkbox under Grant access to resource is disabled.

在此情況下，您仍然可以繼續成功建立 Azure Digital Twins 資源，但具有適當許可權的人員必須將此角色指派給您或將要管理實例資料的人員。

使用 Azure 身分識別管理指派角色（IAM）

您也可以使用 Azure 身分識別管理（IAM）中的存取控制選項來指派 Azure Digital Twins 資料擁有者 角色。

首先，在 Azure 入口網站中開啟 Azure Digital Twins 實例的頁面。
選取 [存取控制 (IAM)]。
選取 [新增 > 角色指派 ] 以開啟 [新增角色指派] 頁面。
指派 Azure Digital Twins 資料擁有者 角色。如需詳細步驟，請參閱使用 Azure 入口網站指派 Azure 角色。

設定值

角色 Azure Digital Twins 資料擁有者

存取權指派對象使用者、群組或服務主體

成員搜尋要指派之使用者的名稱或電子郵件地址

設定	值
角色	Azure Digital Twins 資料擁有者
存取權指派對象	使用者、群組或服務主體
成員	搜尋要指派之使用者的名稱或電子郵件地址

確認成功

您可以檢視您在存取控制（IAM） > 角色指派下 設定的角色指派 。使用者應該會顯示在清單中，並具有 Azure Digital Twins 資料擁有者 的角色 。

Screenshot of the role assignments for an Azure Digital Twins instance in the Azure portal.

您現在已備妥 Azure Digital Twins 實例，並已獲指派許可權來管理它。

啟用/停用實例的受控識別

本節說明如何將受控識別（系統指派或使用者指派）新增至現有的 Azure Digital Twins 實例。您也可以使用此頁面，在已有受控識別的實例上停用受控識別。

從在瀏覽器中開啟Azure 入口網站開始。

在入口網站搜尋列中搜尋實例的名稱，然後選取它以檢視其詳細資料。
選取 左側功能表中的 [身分 識別]。
使用索引標籤來選取您要新增或移除的受控識別類型。
1. 系統指派 ：選取此索引標籤之後，選取 [開啟 ] 選項以開啟此功能，或 [關閉 ] 將其移除。
  
  選取 [儲存 ] 按鈕，然後 選取 [是 ] 以確認。開啟系統指派的身分識別之後，此頁面會顯示更多欄位，其中顯示新身分識別的物件 識別碼 和 許可權 （Azure 角色指派）。
2. 使用者指派（預覽） ：選取此索引標籤之後，選取 [建立使用者指派的受控識別 關聯]，並遵循提示選擇要與實例相關聯的身分識別。
  
  或者，如果這裡已列出您想要停用的身分識別，您可以在清單中核取其旁邊的方塊並移除它。
  
  新增身分識別之後，您可以從此處的清單選取其名稱，以開啟其詳細資料。您可以從其詳細資料頁面檢視其 [物件識別碼 ]，並使用左側功能表來查看其 Azure 角色指派 。

停用受控識別的考慮

請務必考慮對身分識別或其角色所做的任何變更，對於使用該身分識別的資源的影響。如果您使用受控識別搭配 Azure Digital Twins 端點或資料歷程記錄，且身分識別已停用，或從中移除必要的角色，端點或資料歷程記錄連線可能會變得無法存取，且事件流程將會中斷。

下一步

使用 Azure Digital Twins CLI 命令，在您的實例上測試個別的 REST API 呼叫：

或者，瞭解如何使用驗證碼將用戶端應用程式連線到您的實例：

撰寫應用程式驗證程式代碼

設定 Azure Digital Twins 實例和驗證 （入口網站）