本文涵蓋設定新 Azure Digital Twins 執行個體的步驟,包括建立執行個體和設定驗證。 完成本文之後,您將得到一個能讓您進行程式設計的 Azure Digital Twins 執行個體。
本文的這個版本會使用 Azure 入口網站,手動逐一執行這些步驟。 Azure 入口網站是統一的 Web 式主控台,提供有別於命令列工具的替代方案。
新 Azure Digital Twins 執行個體的完整設定包含兩個部分:
- 建立執行個體。
- 設定使用者存取權限:Azure 使用者必須具備 Azure Digital Twins 執行個體的 Azure Digital Twins 資料擁有者角色,才能該執行個體及其資料。 在此步驟中,身為 Azure 訂用帳戶的擁有者/系統管理員,會將此角色指派給管理 Azure Digital Twins 實例的人員。 此人可能是您自己或組織中的其他人。
重要事項
若要完成此完整文章並設定可使用的實例,您需要在 Azure 訂用帳戶上管理資源和使用者存取權的許可權。 任何能夠在訂用帳戶上建立資源的人都可以完成第一個步驟,但第二個步驟需要使用者存取管理許可權(或擁有這些許可權的人員合作)。 您可以在使用者存取權限步驟的 先決條件:必要許可權 一節中深入瞭解所需的權限。
建立 Azure Digital Twins 執行個體
在本章節中,您會使用 Azure 入口網站 建立 Azure Digital Twins 的新執行個體。 瀏覽至入口網站,並使用您的認證登入。
一旦在入口網站中,請從在 Azure 服務首頁功能表中選取 [建立資源] 開始。
![Azure 入口網站的螢幕擷取畫面,其中醒目提示首頁的 [建立資源] 圖示。](media/how-to-set-up-instance/portal/create-resource.png)
在搜尋方塊中搜尋 [Azure Digital Twins] ,然後從結果中選擇 [Azure Digital Twins] 服務。
將 [方案] 欄位保留為 Azure Digital Twins,然後選取 [建立] 按鈕以開始建立服務的新執行個體。
![Azure 入口網站的螢幕擷取畫面,其中醒目提示 Azure Digital Twins 服務頁面中的 [建立] 按鈕。](media/how-to-set-up-instance/portal/create-azure-digital-twins.png)
在下列 [建立資源] 頁面上,填入下列值:
-
訂用帳戶:您所使用的 Azure 訂用帳戶。
- 資源群組:要部署執行個體的資源群組。 如果您還沒有現有的資源群組,您可以選取 [新建] 連結並輸入新資源群組的名稱,在這裡建立一個資源群組。
- 資源名稱:Azure Digital Twins 執行個體的名稱。 如果您的訂用帳戶在某區域中已有另一個 Azure Digital Twins 執行個體使用了指定的名稱,系統會要求您挑選不同的名稱。
- 區域:用於部署的已啟用 Azure Digital Twins 區域。 如需有關區域支援的詳細資料,請造訪 依區域提供的 Azure 產品 (Azure Digital Twins)。
- 授與對資源的存取權:核取本節中的方塊,會將存取和管理執行個體中資料的權限授與給您的 Azure 帳戶。 如果您是管理執行個體的人員,則現在應該核取此方塊。 如果因為您在訂用帳戶中沒有權限而呈現灰色,您可以繼續建立資源,並讓具有必要權限的人員稍後授與您角色。 如需此角色和指派角色給執行個體的詳細資訊,請參閱下一節:設定使用者存取權限。
-
訂用帳戶:您所使用的 Azure 訂用帳戶。
當您完成時,如果您不想再為執行個體設定任何設定,可以選取 [檢閱 + 建立]。 這樣做會將您帶到摘要頁面,您可以在其中檢閱您已輸入的執行個體詳細資料,然後按一下 [建立] 來完成。
如果您想要為執行個體設定更多詳細資料,下一節將會說明其餘的設定索引標籤。
其他設定選項
以下是您可以在安裝期間使用 [建立資源] 程序中的其他索引標籤設定的其他選項。
- 網路功能:在此索引標籤上,您可啟用私人端點的 Azure Private Link,以免執行個體對公用網路公開。 如需指示,請參閱使用 Private Link 啟用私人存取。
- 進階:在此索引標籤中,您可以啟用執行個體的系統指派受控識別。 啟用此選項時,Azure 會自動在 Microsoft Entra ID 中建立執行個體的身分識別,此身分識別可用來向其他服務進行驗證。 您可以在此處建立執行個體時,或稍後在現有執行個體上,啟用該系統指派的受控識別。 如果您想要改為啟用使用者指派的受控識別,您必須稍後在現有的執行個體上執行此作業。
- 標記:在此索引標籤中,您可將標籤新增至執行個體,以便管理 Azure 資源中的該執行個體。 如需 Azure 資源標記的詳細資訊,請參閱標記邏輯組織的資源、資源群組和訂用帳戶。
確認是否成功並收集重要的值
選取 [建立] 完成執行個體設定之後,您可以沿著入口網站圖示列,在 Azure 通知中檢視執行個體部署的狀態。 通知會指出部署成功的時間,此時您可以選取 [移至資源] 按鈕來檢視已建立的執行個體。
![Azure 通知的螢幕擷取畫面,其中顯示成功的部署,並醒目提示Azure 入口網站中的 [移至資源] 按鈕。](media/how-to-set-up-instance/portal/notifications-deployment.png)
如果部署失敗,通知會指出原因。 請觀察錯誤訊息中的建議,然後重試建立執行個體。
秘訣
建立執行個體之後,您隨時都可以在 Azure 入口網站搜尋列中搜尋執行個體的名稱,返回其頁面。
從執行個體的 [概觀] 頁面中,記下其 [名稱]、[資源群組] 和 [主機名稱]。 這些值都很重要,而且您可能需要在繼續使用 Azure Digital Twins 執行個體時使用這些值。 如果其他使用者要對此執行個體進行程式設計,您應該與他們分享這些值。
![Azure 入口網站的螢幕擷取畫面,其中醒目提示 Azure Digital Twins 執行個體 [概觀] 頁面中的重要值。](media/how-to-set-up-instance/portal/instance-important-values.png)
您現在已備妥 Azure Digital Twins 執行個體。 接下來,您會將管理權限授與適當的 Azure 使用者。
設定使用者存取權限
Azure Digital Twins 會使用 Microsoft Entra ID 作為角色型存取控制 (RBAC)。 這表示使用者必須先具備適當權限的角色指派,才能對 Azure Digital Twins 執行個體進行資料平面呼叫。
對於 Azure Digital Twins,此角色為 Azure Digital Twins 資料擁有者。 如需角色和安全性的詳細資訊,請參閱 Azure Digital Twins 解決方案的安全性。
附註
此角色不同於 Microsoft Entra ID 的「擁有者」角色 (也可在 Azure Digital Twins 執行個體範圍內指派)。 這是兩個不同的管理角色,擁有者不會授予透過 Azure Digital Twins 資料擁有者所授予的資料平面功能存取權。
本節說明如何在 Azure Digital Twins 實例中為使用者建立角色指派,並在 Azure 訂用帳戶上的 Microsoft Entra 租使用者中使用該使用者的電子郵件。 視您組織中的角色而定,您可以自行設定此許可權,或代表管理 Azure Digital Twins 實例的其他人進行設定。
有兩種方式可以為 Azure Digital Twins 中的使用者建立角色指派:
兩者都需要相同的權限。
必要條件:權限需求
若要完成下列步驟,您的訂閱中必須有具備以下權限的角色:
- 建立和管理 Azure 資源
- 管理使用者的 Azure 資源存取權 (包含授與和委派權限)
符合此需求的常見角色包括:擁有者、帳戶管理員,或使用者存取管理員與參與者的組合。 如需角色和權限的完整說明,包括其他角色所擁有的權限,請參閲 Azure RBAC 文件中的 Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色。
若要在您的訂用帳戶中檢視您的角色,請造訪 Azure 入口網站中的訂用帳戶頁面 (您可以使用此連結,或使用入口網站搜尋列來尋找訂用帳戶)。 尋找您正在使用的訂用帳戶名稱,然後在 [我的角色] 欄位中檢視您對該訂用帳戶的角色:
![Azure 入口網站 [訂閱] 頁面的螢幕擷取畫面,其中顯示使用者為擁有者。](media/how-to-set-up-instance/portal/subscriptions-role.png#lightbox)
如果您發現該值為參與者或另一個不具備上述必要權限的角色,您可以聯絡您的訂用帳戶中擁有這些權限的使用者 (例如訂用帳戶擁有者或帳戶管理員),並按以下其中一個方式來繼續進行:
- 要求他們代表您完成角色指派的步驟。
- 要求他們在訂用帳戶上提高您的角色權限,以便您擁有自行進行的權限。 此要求是否合適,取決於您的組織以及您在組織中的角色。
在執行個體建立期間指派角色
透過本文稍早所述的程序建立 Azure Digital Twins 資源時,請選取 [授與資源的存取權] 底下的 [指派 Azure Digital Twins 資料擁有者角色]。 這樣做會使您自己獲得對資料平面 API 的完全存取權。
![Azure 入口網站中 Azure Digital Twins 建立資源程序的螢幕擷取畫面。醒目提示 [授與資源的存取權] 底下的核取方塊。](media/how-to-set-up-instance/portal/create-azure-digital-twins-2-role.png)
如果您沒有將角色指派給身分識別的權限,則方塊會呈現灰色。
![Azure 入口網站中 Azure Digital Twins 建立資源程序的螢幕擷取畫面。已停用 [授與資源的存取權] 底下的核取方塊。](media/how-to-set-up-instance/portal/create-azure-digital-twins-2-role-greyed.png)
在該情況下,您仍然可以繼續順利地建立 Azure Digital Twins 資源,但需要具有適當權限的人員將此角色指派給您或將管理執行個體資料的人員。
使用 Azure Identity Management (IAM) 指派角色
您也可以使用 Azure Identity Management (IAM) 中的存取控制選項來指派 Azure Digital Twins 資料擁有者角色。
首先,在 Azure 入口網站中,開啟您的 Azure Digital Twins 執行個體頁面。
選取 [存取控制 (IAM)]。
選取 [新增]>[新增角色指派],開啟 [新增角色指派] 頁面。
指派 Azure Digital Twins 資料擁有者角色。 如需詳細步驟,請參閱使用 Azure 入口網站指派 Azure 角色。
設定 值 角色 Azure Digital Twins 資料擁有者 存取權指派對象 使用者、群組或服務主體 成員 搜尋要指派的使用者名稱或電子郵件地址 ![[新增角色指派] 頁面](../reusable-content/ce-skilling/azure/media/role-based-access-control/add-role-assignment-page.png)
確認是否成功
您可以在 [存取控制 (IAM)] > [角色指派] 下檢視您所設定的角色指派。 使用者應該會顯示在清單中,並具有 Azure Digital Twins 資料擁有者的角色。
您現在擁有一個可立即使用的 Azure Digital Twins 執行個體,並已被指派管理該執行個體的權限。
啟用/停用執行個體的受控識別
本章節會說明如何將受控識別 (無論是系統指派還是使用者指派) 新增至現有的 Azure Digital Twins 執行個體。 您也可以使用此頁面來在已有受控識別的執行個體上停用受控識別。
從在瀏覽器中開啟 Azure 入口網站開始。
在入口網站搜尋列中搜尋執行個體的名稱,然後加以選取以檢視其詳細資料。
選取左側功能表中的 [ 設定 > 身分識別 ]。
使用索引標籤來選取您要新增或移除的受控識別類型。
系統指派:選取此索引標籤之後,請選取 [開啟] 選項以開啟此功能,或 [關閉] 以將其移除。
選取 [儲存] 按鈕,然後選取 [是] 以確認。 開啟系統指派的身分識別之後,此頁面會顯示更多欄位,其中顯示新身分識別的 物件識別碼 和 權限 (Azure 角色指派)。
使用者指派 (預覽):選取此索引標籤之後,請選取 [關聯使用者指派的受控識別] ,並遵循提示選擇要與執行個體相關聯的身分識別。
或者,如果這裡已經列出您想要停用的身分識別,您可以在清單中核取其旁邊的方塊,然後移除它。
新增身分識別後,您可以從此處的清單中選取其名稱以開啟其詳細資料。 您可以從其詳細資料頁面檢視其 物件識別碼,並使用左側功能表來查看其 Azure 角色指派。
停用受控識別的考量
請務必要考量針對身分識別或其角色的變更,對於使用該身分識別的資源會造成什麼影響。 如果您是用 Azure Digital Twins 端點來使用受控識別,或是將受控識別用於資料歷程記錄,當身分識別停用或必要角色被從中移除時,端點或資料歷程記錄連線可能會變得無法存取,而且事件的流程會被中斷。
後續步驟
使用 Azure Digital Twins CLI 命令在執行個體上測試個別 REST API 呼叫:
或者,請參閱如何利用驗證碼將用戶端應用程式連線到您的執行個體: