IoT Central アプリケーションでユーザーとロールを管理する
この記事では、Azure IoT Central アプリケーションでユーザーを追加、編集、および削除する方法について説明します。 この記事では、アプリケーションでロールを管理する方法についても説明します。
[アクセス許可] セクションにアクセスして使用するには、Azure IoT Central アプリケーションのアプリ管理者ロールか、管理アクセス許可が含まれているカスタム ロールが必要です。 Azure IoT Central アプリケーションを作成したユーザーは、自動的にそのアプリケーションのアプリ管理者ロールに追加されます。
IoT Central REST API を使ってユーザーとロールを管理する方法については、「IoT Central REST API を使用してユーザーとロールを管理する方法」をご覧ください。
ユーザーの追加
ユーザーがアプリケーションにサインインしてアクセスするには、ユーザー アカウントが必要です。 IoT Central では、Microsoft ユーザー アカウント、Microsoft Entra アカウント、Microsoft Entra グループ、および Microsoft Entra サービス プリンシパルがサポートされます。 詳細については、Microsoft アカウントのヘルプおよびクイックスタート: Microsoft Entra ID への新しいユーザーの追加に関する記事を参照してください。
IoT Central アプリケーションにユーザーを追加するには、[アクセス許可] セクションの [ユーザー] ページに移動します。
[ユーザー] ページでユーザーを追加するには、[+ ユーザーの割り当て] を選択します。 [ユーザー] ページでサービス プリンシパルを追加するには、[+ Assign service principal]\(+ サービス プリンシパルの割り当て\) を選択します。 [ユーザー] ページで Microsoft Entra グループを追加するには、[+ グループの割り当て] を選択します。 Active Directory グループの名前またはサービス プリンシパルの名前の入力を開始すると、フォームに自動的に入力されます。
Note
サービス プリンシパルと Active Directory グループは、IoT Central アプリケーションに関連付けられている Azure サブスクリプションと同じ Microsoft Entra テナントに属している必要があります。
アプリケーションで組織を使用している場合は、[組織] ドロップダウン メニューからユーザーに割り当てる組織を選択します。
ロールドロップダウン メニューからユーザーに対するロールを選択します。 ロールの詳細については、この記事の「ロールの管理」セクションを参照してください。
利用可能なロールは、ユーザーが関連付けられている組織によって異なります。 ルート組織に関連付けられているユーザーにアプリのロールを割り当て、階層内の他の組織に関連付けられているユーザーに組織のロールを割り当てることができます。
Note
他のユーザーを追加する権限が付与されるカスタム ロールのユーザーは、自分のロールと同じかそれよりも低い権限を持つロールにのみユーザーを追加できます。
新しいユーザーを招待する際には、アプリケーションの URL を相手に伝え、サインインしてもらう必要があります。 ユーザーが初めてサインインすると、ユーザーのマイ アプリ ページにアプリケーションが表示されます。
Note
ユーザーを Microsoft Entra ID から削除してから追加し直した場合、そのユーザーは IoT Central アプリケーションにサインインできなくなります。 アクセスを再び有効にするには、アプリケーションの管理者がアプリケーションでもユーザーを削除してから再び追加する必要があります。
Microsoft Entra グループとサービス プリンシパルには、次の制限が適用されます。
- 各 IoT Central アプリケーションの Microsoft Entra グループの合計数は、20 を超えることはできません。
- 同じ Microsoft Entra テナントからの一意の Microsoft Entra グループの合計数は、すべての IoT Central アプリケーション全体で 200 を超えることはできません。
- Microsoft Entra グループの一部であるサービス プリンシパルには、アプリケーションへのアクセス権が自動的に付与されません。 サービス プリンシパルは明示的に追加する必要があります。
ユーザーに割り当てられているロールと組織を編集する
ロールと組織は、割り当てられた後に変更することはできません。 ユーザーまたは組織に割り当てられているロールを変更するには、ユーザーを削除してから、別のロールまたは組織を使用してユーザーを追加します。
Note
割り当てられたロールは IoT Central アプリケーションに固有であり、Azure portal から管理することはできません。
ユーザーを削除する
ユーザーを削除するには、ユーザーページで 1 つまたは複数のチェック ボックスを選択します。 次に、 [削除] を選択します。
ロールの管理
"ロール" を使うと、組織内のだれが IoT Central でさまざまなタスクを実行できるかを制御できます。 アプリケーションのユーザーに割り当てることができる組み込みロールが 3 つあります。 より詳細な制御が必要な場合は、カスタム ロールの作成を行うこともできます。
アプリの管理者
アプリの管理者ロールのユーザーは、課金を含め、アプリケーションのすべての部分を管理および制御できます。
アプリケーションを作成したユーザーは、自動的にアプリの管理者ロールに割り当てられます。 アプリの管理者ロールには、少なくとも 1 人のユーザーが常に存在している必要があります。
アプリ ビルダー
アプリ ビルダー ロールのユーザーは、アプリのすべての部分を管理できますが、[アプリケーション] または [データのエクスポート] タブで変更を加えることはできません。
アプリのオペレーター
アプリのオペレーター ロールのユーザーは、デバイスの正常性と状態を監視できます。 デバイス テンプレートに変更を加えたり、アプリケーションを管理したりすることはできません。 オペレーターはデバイスの追加と削除、デバイス セットの管理、分析とジョブの実行が可能です。
組織管理者
このロールは、アプリケーションに組織を追加すると、IoT Central によって自動的に追加されます。 このロールは、組織の管理者が、請求先、ブランド化、カラー設定、API トークン、登録グループ情報などのアプリケーション全体にわたる機能にアクセスすることを制限します。
組織の管理者ロールのユーザーは、アプリケーションにユーザーを招待したり、組織階層内にサブ組織を作成したり、組織内のデバイスを管理したりすることができます。
組織のオペレーター
このロールは、アプリケーションに組織を追加すると、IoT Central によって自動的に追加されます。 このロールは、組織のオペレーターがアプリケーション全体の機能にアクセスすることを制限します。
組織のオペレーター ロールのユーザーは、デバイスの追加、コマンドの実行、デバイス データの表示、ダッシュボードの作成、デバイス グループの作成などのタスクを実行することができます。
組織ビューアー
このロールは、アプリケーションに組織を追加すると、IoT Central によって自動的に追加されます。
組織ビューアーの役割を持つユーザーは、デバイスとそのデータ、組織のダッシュボード、デバイス グループ、デバイス テンプレートなどの項目を表示できます。
カスタム ロールを作成する
ソリューションに詳細なアクセス制御が必要な場合は、カスタムのアクセス許可セットを使用してロールを作成できます。 カスタム ロールを作成するには、アプリケーションの [アクセス許可] セクションの [ロール] ページに移動し、次のオプションのいずれかを選びます。
- [+ 新しいロール] を選択し、ロールの名前と説明を追加し、ロールの種類に [アプリケーション] または [組織] を選択します。 このオプションを使用すると、ロールの定義を最初から作成できます。
- 既存のロールに移動し、[コピー] を選択します。 このオプションを使用すると、カスタマイズ可能な既存のロール定義から始めることができます。
警告
ロールの作成後にロールの種類を変更することはできません。
ユーザーをアプリケーションに招待するときに、ユーザーを次のように関連付けます。
- ルート組織と関連付けると、アプリケーション ロールのみを使用できます。
- その他の組織と関連付けると、組織ロールのみを使用できます。
組み込みロールにユーザーを追加するのと同じ方法で、ユーザーをカスタム ロールに追加できます。
カスタム ロールのオプション
カスタム ロールを定義する場合は、ユーザーがそのロールのメンバーである場合に付与されるアクセス許可のセットを選択します。 一部のアクセス許可は他のアクセス許可に依存しています。 たとえば、ロールに [Update personal dashboards]\(個人用ダッシュボードの更新\) アクセス許可を追加すると、[View personal dashboards]\(個人用ダッシュボードの表示\) アクセス許可が自動的に追加されます。 次の表は、使用可能なアクセス許可とその依存関係をまとめたもので、カスタム ロールを作成するときに使用できます。
デバイスの管理
デバイス テンプレートのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし |
| 管理 | の表示 その他の依存関係: デバイス インスタンスの表示 |
| フル コントロール | 表示、管理 その他の依存関係: デバイス インスタンスの表示 |
デバイス インスタンスのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし その他の依存関係: デバイス テンプレートおよびデバイス グループの表示 |
| 更新プログラム | の表示 その他の依存関係: デバイス テンプレートおよびデバイス グループの表示 |
| 作成 | の表示 その他の依存関係: デバイス テンプレートおよびデバイス グループの表示 |
| 削除 | の表示 その他の依存関係: デバイス テンプレートおよびデバイス グループの表示 |
| コマンドの実行 | 更新、表示 その他の依存関係: デバイス テンプレートおよびデバイス グループの表示 |
| 生データを表示する | の表示 その他の依存関係: デバイス テンプレートおよびデバイス グループの表示 |
| アップロードされたデバイス ファイルの表示 | の表示 その他の依存関係: デバイス テンプレートおよびデバイス グループの表示 |
| アップロードされたデバイス ファイルの削除 | の表示 その他の依存関係: デバイス テンプレートおよびデバイス グループの表示 |
| フル コントロール | 表示、更新、作成、削除、コマンドの実行、生データの表示 その他の依存関係: デバイス テンプレートおよびデバイス グループの表示 |
デバイス グループのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし その他の依存関係: デバイス テンプレートおよびデバイス インスタンスの表示 |
| 更新プログラム | の表示 その他の依存関係: デバイス テンプレートおよびデバイス インスタンスの表示 |
| 作成 | 表示、更新 その他の依存関係: デバイス テンプレートおよびデバイス インスタンスの表示 |
| 削除 | の表示 その他の依存関係: デバイス テンプレートおよびデバイス インスタンスの表示 |
| フル コントロール | 表示、更新、作成、削除 その他の依存関係: デバイス テンプレートおよびデバイス インスタンスの表示 |
デバイス接続の管理のアクセス許可
| 名前 | 依存関係 |
|---|---|
| インスタンスの読み取り | なし その他の依存関係: デバイス テンプレート、デバイス グループ、デバイス インスタンスの表示 |
| インスタンスの管理 | インスタンスの読み取り その他の依存関係: デバイス テンプレート、デバイス グループ、デバイス インスタンスの表示 |
| グローバルの読み取り | なし |
| グローバルの管理 | グローバルの読み取り |
| フル コントロール | インスタンスの読み取り、インスタンスの管理、グローバルの読み取り、グローバルの管理 その他の依存関係: デバイス テンプレート、デバイス グループ、デバイス インスタンスの表示 |
Edge の配置マニフェスト
| 名前 | 依存関係 |
|---|---|
| インスタンスの読み取り | なし その他の依存関係: デバイス テンプレート、デバイス グループ、デバイス インスタンスの表示 |
| インスタンスの管理 | インスタンスの読み取り その他の依存関係: デバイス テンプレート、デバイス グループ、デバイス インスタンスの表示 |
| グローバルの読み取り | なし |
| グローバルの管理 | グローバルの読み取り |
| フル コントロール | インスタンスの読み取り、インスタンスの管理、グローバルの読み取り、グローバルの管理 その他の依存関係: デバイス テンプレート、デバイス グループ、デバイス インスタンスの表示。 デバイス インスタンスの更新 |
ジョブのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし その他の依存関係: デバイス テンプレート、デバイス インスタンス、デバイス グループの表示 |
| 更新プログラム | の表示 その他の依存関係: デバイス テンプレート、デバイス インスタンス、デバイス グループの表示 |
| 作成 | 表示、更新 その他の依存関係: デバイス テンプレート、デバイス インスタンス、デバイス グループの表示 |
| 削除 | の表示 その他の依存関係: デバイス テンプレート、デバイス インスタンス、デバイス グループの表示 |
| 実行 | の表示 その他の依存関係: デバイス テンプレート、デバイス インスタンス、デバイス グループの表示。デバイス インスタンスの更新。デバイス インスタンスでのコマンドの実行 |
| フル コントロール | 表示、更新、作成、削除、実行 その他の依存関係: デバイス テンプレート、デバイス インスタンス、デバイス グループの表示。デバイス インスタンスの更新。デバイス インスタンスでのコマンドの実行 |
ルールのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし その他の依存関係: デバイス テンプレートの表示 |
| 更新プログラム | の表示 その他の依存関係: デバイス テンプレートの表示 |
| 作成 | 表示、更新 その他の依存関係: デバイス テンプレートの表示 |
| 削除 | の表示 その他の依存関係: デバイス テンプレートの表示 |
| フル コントロール | 表示、更新、作成、削除 その他の依存関係: デバイス テンプレートの表示 |
アプリの管理
アプリケーション設定のアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし |
| 更新プログラム | ビュー |
| コピー | の表示 その他の依存関係: デバイス テンプレート、デバイス インスタンス、デバイスグ ループ、ダッシュボード、データ エクスポート、ブランド、ヘルプ リンク、カスタム ロール、ルールの表示 |
| 削除 | ビュー |
| フル コントロール | 表示、更新、コピー、削除 その他の依存関係: デバイス テンプレート、デバイスグ ループ、アプリケーション ダッシュボード、データ エクスポート、ブランド化、ヘルプ リンク、カスタム ロール、ルールの表示 |
アプリケーション テンプレートのエクスポートのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし |
| Export | の表示 その他の依存関係: デバイス テンプレート、デバイス インスタンス、デバイスグ ループ、ダッシュボード、データ エクスポート、ブランド、ヘルプ リンク、カスタム ロール、ルールの表示 |
| フル コントロール | 表示、エクスポート その他の依存関係: デバイス テンプレート、デバイスグ ループ、アプリケーション ダッシュボード、データ エクスポート、ブランド化、ヘルプ リンク、カスタム ロール、ルールの表示 |
デバイス ファイルのアップロードのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし |
| 管理 | ビュー |
| フル コントロール | 表示、管理 |
課金のアクセス許可
| 名前 | 依存関係 |
|---|---|
| 管理 | なし |
| フル コントロール | 管理 |
監査ログのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし |
| フル コントロール | ビュー |
注意事項
監査ログを表示するアクセス許可を付与されたユーザーは、ログにリスト表示されているエンティティを表示または変更するアクセス許可を持っていない場合でも、すべてのログ エントリを表示できます。 そのため、ログを表示できるすべてのユーザーは、変更されたエンティティの ID と変更を表示できます。
ユーザーとロールの管理
カスタム ロールのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし |
| 更新プログラム | 表示 |
| 作成 | 表示、更新 |
| 削除 | ビュー |
| フル コントロール | 表示、更新、作成、削除 |
ユーザー管理のアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし その他の依存関係: カスタム ロールの表示 |
| 追加 | の表示 その他の依存関係: カスタム ロールの表示 |
| 削除 | の表示 その他の依存関係: カスタム ロールの表示 |
| フル コントロール | 表示、追加、削除 その他の依存関係: カスタム ロールの表示 |
組織の管理アクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし |
| 更新プログラム | 表示 |
| 作成 | 表示、更新 |
| 削除 | ビュー |
| フル コントロール | 表示、更新、作成、削除 |
Note
他のユーザーを追加する権限が付与されるカスタム ロールのユーザーは、自分のロールと同じかそれよりも低い権限を持つロールにのみユーザーを追加できます。
アプリのカスタマイズ
アプリケーション ダッシュボードのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし |
| 更新プログラム | 表示 |
| 作成 | 表示、更新 |
| 削除 | ビュー |
| フル コントロール | 表示、更新、作成、削除 |
アプリケーション ダッシュボードのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし |
| 更新プログラム | 表示 |
| 作成 | 表示、更新 |
| 削除 | ビュー |
| フル コントロール | 表示、更新、作成、削除 |
データ エクスプローラー アクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし その他の依存関係: デバイス ループ、デバイス ンプレート、デバイス ンスタンスの表示 |
| 更新プログラム | の表示 その他の依存関係: デバイス ループ、デバイス ンプレート、デバイス ンスタンスの表示 |
| 作成 | 表示、更新 その他の依存関係: デバイス ループ、デバイス ンプレート、デバイス ンスタンスの表示 |
| 削除 | の表示 その他の依存関係: デバイス ループ、デバイス ンプレート、デバイス ンスタンスの表示 |
| フル コントロール | 表示、更新、作成、削除 その他の依存関係: デバイス ループ、デバイス ンプレート、デバイス ンスタンスの表示 |
ブランド、favicon、および色のアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし |
| 更新プログラム | ビュー |
| フル コントロール | 表示、更新 |
ヘルプ リンクのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし |
| 更新プログラム | ビュー |
| フル コントロール | 表示、更新 |
アプリの拡張
データのエクスポートのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし |
| 更新プログラム | 表示 |
| 作成 | 表示、更新 |
| 削除 | ビュー |
| フル コントロール | 表示、更新、作成、削除 |
API トークンのアクセス許可
| 名前 | 依存関係 |
|---|---|
| ビュー | なし その他の依存関係: カスタム ロールの表示 |
| 作成 | の表示 その他の依存関係: カスタム ロールの表示 |
| 削除 | の表示 その他の依存関係: カスタム ロールの表示 |
| フル コントロール | 表示、作成、削除 その他の依存関係: カスタム ロールの表示 |