التحكم في الوصول المستند إلى دور Azure (RBAC) وتحديث الجهاز

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يستخدم تحديث الجهاز Azure RBAC لتوفير المصادقة والتخويل للمستخدمين وواجهات برمجة تطبيقات الخدمة.

تكوين أدوار التحكم في الوصول

لكي يتمكن المستخدمون والتطبيقات الآخرون من الوصول إلى "تحديث الجهاز"، يجب منح المستخدمين أو التطبيقات حق الوصول إلى هذا المورد. فيما يلي الأدوار التي يدعمها "تحديث الجهاز":

اسم الدور	الوصف
مسؤول تحديث الجهاز	لديه حق الوصول إلى جميع موارد تحديث الجهاز
قارئ تحديث الجهاز	يمكن عرض جميع التحديثات وعمليات النشر
مسؤول محتوى تحديث الجهاز	يمكن عرض التحديثات واستيرادها وحذفها
قارئ محتوى تحديث الجهاز	يمكن عرض التحديثات
مسؤول عمليات نشر تحديث الجهاز	يمكنه إدارة نشر التحديثات على الأجهزة
قارئ عمليات نشر تحديث الجهاز	يمكن عرض عمليات نشر التحديثات على الأجهزة

يمكن استخدام مجموعة من الأدوار لتوفير المستوى الصحيح من الوصول. على سبيل المثال، يمكن للمطور استيراد التحديثات وإدارتها باستخدام دور مسؤول محتوى تحديث الجهاز، ولكنه يحتاج إلى دور قارئ عمليات نشر تحديث الجهاز لعرض تقدم التحديث. وعلى العكس من ذلك، يمكن لمشغل الحلول الذي يلعب دوره "قارئ تحديث الجهاز" عرض كافة التحديثات، ولكنه يحتاج إلى استخدام دور "مسؤول عمليات نشر تحديث الجهاز" لنشر تحديث معين على الأجهزة.

المصادقة إلى واجهات برمجة تطبيقات REST لتحديث الجهاز

يستخدم "تحديث الجهاز" Azure Active Directory (AD) للمصادقة على واجهات برمجة تطبيقات REST الخاصة به. للبدء، تحتاج إلى إنشاء تطبيق عميل وتكوينه.

إنشاء عميل Azure AD App

لدمج تطبيق أو خدمة مع Azure AD، قم أولا بتسجيل تطبيق عميل مع Azure AD. سيختلف إعداد تطبيق العميل وفقا لتدفق التفويض الذي ستحتاج إليه (المستخدمون أو التطبيقات أو الهويات المدارة). على سبيل المثال، للاتصال ب "تحديث الجهاز" من:

• تطبيق الهاتف المحمول أو سطح المكتب ، أضف Mobile and desktop applications نظاما أساسيا مع https://login.microsoftonline.com/common/oauth2/nativeclient إعادة توجيه URI.
• موقع ويب مع تسجيل الدخول الضمني ، أضف نظاما Web أساسيا وحدد Access tokens (used for implicit flows).

تكوين الأذونات

بعد ذلك، أضف أذونات للاتصال ب "تحديث الجهاز" إلى تطبيقك:

1. انتقل إلى API permissions صفحة تطبيقك وانقر على Add a permission.
2. انتقل إلى APIs my organization uses وابحث عن Azure Device Update.
3. حدد user_impersonation الإذن وانقر فوق Add permissions.

طلب رمز التفويض

تتطلب واجهة برمجة تطبيقات REST لتحديث الجهاز الرمز المميز لتخويل OAuth 2.0 في رأس الطلب. فيما يلي بعض الأمثلة على الطرق المختلفة لطلب رمز مميز للتفويض.

استخدام Azure CLI

az login
az account get-access-token --resource 'https://api.adu.microsoft.com/'

استخدام مكتبة PowerShell MSAL

MSAL.PS الوحدة النمطية PowerShell عبارة عن غلاف عبر مكتبة مصادقة Microsoft ل .NET (MSAL .NET). وهو يدعم طرق المصادقة المختلفة.

استخدام بيانات اعتماد المستخدم:

$clientId = '<app_id>'
$tenantId = '<tenant_id>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope

استخدام بيانات اعتماد المستخدم مع رمز الجهاز:

$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/user_impersonation'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -Interactive -DeviceCode

استخدام بيانات اعتماد التطبيق:

$clientId = '<app_id>’
$tenantId = '<tenant_id>’
$cert = '<client_certificate>'
$authority = "https://login.microsoftonline.com/$tenantId/v2.0"
$Scope = 'https://api.adu.microsoft.com/.default'

Get-MsalToken -ClientId $clientId -TenantId $tenantId -Authority $authority -Scopes $Scope -ClientCertificate $cert

الخطوات التالية

• إنشاء موارد تحديث الجهاز وتكوين أدوار التحكم في الوصول] (./create-device-update-account.md)