Gérer les utilisateurs et rôles dans votre application Azure IoT Central
Cet article explique comment vous pouvez ajouter, modifier et supprimer des utilisateurs dans votre application Azure IoT Central. L’article explique également comment gérer des rôles dans votre application.
Pour accéder à la section Autorisations et l’utiliser, vous devez avoir le rôle Administrateur d’application pour une application Azure IoT Central ou un rôle personnalisé incluant des autorisations d’administration. Si vous créez une application Azure IoT Central, le rôle Administrateur d’application vous est automatiquement attribué pour cette application.
Pour savoir comment gérer les utilisateurs et les rôles à l’aide de l’API REST IoT Central, consultez Comment utiliser l’API REST IoT Central pour gérer les utilisateurs et les rôles.
Ajouter des utilisateurs
Chaque utilisateur doit disposer d’un compte d’utilisateur pour pouvoir se connecter à une application et y accéder. IoT Central prend en charge des comptes d’utilisateur Microsoft, des comptes Microsoft Entra, des groupes Microsoft Entra et des principaux de service Microsoft Entra. Pour découvrir plus d’informations, consultez Aide sur le Compte Microsoft et Démarrage rapide : Ajouter de nouveaux utilisateurs à Microsoft Entra ID.
Pour ajouter un utilisateur à une application IoT Central, accédez à la page Utilisateurs dans la section Autorisations :
Pour ajouter un utilisateur, dans la page Utilisateurs, choisissez + Attribuer un utilisateur. Pour ajouter un principal de service sur la page Utilisateurs, choisissez + Affecter un principal de service. Pour ajouter un groupe Microsoft Entra dans la page Utilisateurs, choisissez + Affecter un groupe. Commencez à entrer le nom du groupe ou du principal de service Active Directory pour remplir automatiquement le formulaire.
Remarque
Les principaux de service et les groupes Active Directory doivent appartenir au même tenant Microsoft Entra que l’abonnement Azure associé à l’application IoT Central.
Si votre application utilise des organisations, choisissez une organisation à attribuer à l’utilisateur dans le menu déroulant Organisation.
Choisissez un rôle pour l’utilisateur dans la liste déroulante Rôle. Découvrez plus d’informations sur les rôles dans la section Gérer les rôles de cet article :
Les rôles disponibles dépendent de l’organisation à laquelle l’utilisateur est associé. Vous pouvez attribuer des rôles Application à des utilisateurs associés à l’organisation racine, et des rôles Organisation à des utilisateurs associés à toute autre organisation figurant dans la hiérarchie.
Remarque
Un utilisateur qui se trouve dans un rôle personnalisé qui lui accorde l’autorisation d’ajouter d’autres utilisateurs peut uniquement ajouter des utilisateurs à un rôle avec des autorisations identiques ou moins nombreuses que son propre rôle.
Lorsque vous invitez un nouvel utilisateur, vous devez lui partager l’URL de l’application et lui demander de se connecter. Une fois l’utilisateur connecté pour la première fois, l’application apparaît dans la page Mes applications de l’utilisateur.
Remarque
Si un utilisateur est supprimé de Microsoft Entra ID puis rajouté, il ne peut pas se connecter à l’application IoT Central. Pour réactiver l’accès, l’administrateur de l’application doit également supprimer et rajouter l’utilisateur dans l’application.
Les limitations suivantes s’appliquent aux groupes et principaux de service Microsoft Entra :
- Le nombre total de groupes Microsoft Entra pour chaque application IoT Central ne peut pas dépasser 20.
- Le nombre total de groupes Microsoft Entra uniques provenant du même tenant Microsoft Entra ne peut pas dépasser 200 pour toutes les applications IoT Central.
- Les principaux de service qui font partie d’un groupe Microsoft Entra ne sont pas automatiquement autorisés à accéder à l’application. Les principaux de service doivent être ajoutés explicitement.
Modifier les rôles et les organisations attribués aux utilisateurs
Il n’est pas possible de modifier des rôles et organisations après leur attribution. Pour modifier le rôle ou l’organisation attribués à un utilisateur, supprimez celui-ci, puis rajoutez-le avec un rôle ou une organisation différents.
Remarque
Les rôles attribués sont spécifiques à l’application IoT Central et ne peuvent pas être gérés à partir du portail Azure.
Supprimer les utilisateurs
Pour supprimer des utilisateurs, sélectionnez une ou plusieurs cases à cocher sur la page Utilisateurs. Puis sélectionnez Supprimer.
Gérer les rôles
Les rôles vous permettent de contrôler qui, au sein de votre organisation, peut effectuer différentes tâches dans IoT Central. Vous pouvez attribuer trois rôles intégrés aux utilisateurs de votre application. Vous pouvez également créer des rôles personnalisés si vous avez besoin d’un contrôle plus fin.
Administrateur d’application
Les utilisateurs auxquels est attribué le rôle Administrateur d’administrateur peuvent gérer et contrôler toutes les parties de l’application, dont la facturation.
L’utilisateur qui crée une application se voit automatiquement attribué le rôle Administrateur d’application. Le rôle Administrateur d’application doit toujours être attribué à au moins un utilisateur.
Générateur d’application
Les utilisateurs auxquels est attribué le rôle Générateur d’application peuvent gérer toutes les parties de l’application, mais ils ne peuvent pas apporter de changement sous les onglets Application ou Exportation de données.
Opérateur d’application
Les utilisateurs auxquels est attribué le rôle Opérateur d’application peuvent surveiller l’intégrité et l’état des appareils. Ils ne sont pas autorisés à apporter des modifications aux modèles d’appareils ni à administrer l’application. Les opérateurs peuvent ajouter et supprimer des appareils, gérer des ensembles d’appareils et exécuter des analytiques et des travaux.
Administrateur de l’organisation
IoT Central ajoute ce rôle automatiquement quand vous ajoutez une organisation à votre application. Ce rôle empêche les administrateurs d’organisation d’accéder à certaines fonctionnalités d’application, telles que la facturation, la personnalisation, les couleurs, les jetons d’API et les informations du groupe d’inscription.
Les utilisateurs auxquels est attribué le rôle Administrateur d’organisation peuvent inviter des utilisateurs à accéder à l’application, créer des sous-organisations dans la hiérarchie de leur organisation, et gérer les appareils au sein de leur organisation.
Opérateur d’organisation
IoT Central ajoute ce rôle automatiquement quand vous ajoutez une organisation à votre application. Ce rôle empêche les opérateurs d’organisation d’accéder à certaines fonctionnalités à l’échelle de l’application.
Les utilisateurs auxquels est attribué le rôle Opérateur d’organisation peuvent effectuer des tâches telles que l’ajout d’appareils, l’exécution de commandes, l’affichage de données d’appareil, la création de tableaux de bord et la création de groupes d’appareils.
Observateur de l’organisation
IoT Central ajoute ce rôle automatiquement quand vous ajoutez une organisation à votre application.
Les utilisateurs auxquels est attribué le rôle Observateur d’organisation peuvent afficher des éléments tels que des appareils et leurs données, des tableaux de bord d’organisation, des groupes d’appareils et des modèles d’appareil.
Créer un rôle personnalisé
Si votre solution nécessite des contrôles d’accès plus précis, vous pouvez créer des rôles avec des ensembles d’autorisations personnalisés. Pour créer un rôle personnalisé, accédez à la page Rôles, dans la section Autorisations de votre application, puis choisissez l’une des options suivantes :
- Sélectionnez + Nouveau, ajoutez un nom et une description pour votre rôle, puis sélectionnez Application ou Organisation en tant que type de rôle. Cette option vous permet de créer une définition de rôle à partir de rien.
- Accédez à un rôle existant et sélectionnez Copier. Cette option vous permet de commencer avec une définition de rôle existante que vous pouvez personnaliser.
Avertissement
Après avoir créé un rôle, vous ne pouvez pas modifier son type.
Lorsque vous invitez un utilisateur à accéder à votre application, si vous associez l’utilisateur à :
- l’organisation racine, seuls les rôles Application sont disponibles.
- toute autre organisation, seuls les rôles Organisation sont disponibles.
Vous pouvez ajouter des utilisateurs à votre rôle personnalisé de la même façon que vous ajoutez des utilisateurs à un rôle intégré.
Options de rôle personnalisé
Lorsque vous définissez un rôle personnalisé, vous choisissez le jeu d’autorisations qu’un utilisateur reçoit s’il est membre du rôle. Certaines autorisations dépendent les unes des autres. Par exemple, si vous ajoutez l’autorisation Mettre à jour les tableaux de bord personnels à un rôle, l’autorisation Afficher les tableaux de bord personnels est automatiquement ajoutée. Les tableaux suivants résument les autorisations disponibles et leurs dépendances, que vous pouvez utiliser lors de la création de rôles personnalisés.
Gestion des appareils
Autorisations du modèle d’appareil
| Nom | Dépendances |
|---|---|
| Affichage | Aucun |
| Gérer | Afficher Autres dépendances : Afficher les instances d’appareils |
| Contrôle total | Afficher, Gérer Autres dépendances : Afficher les instances d’appareils |
Autorisations des instances d’appareils
| Nom | Dépendances |
|---|---|
| Affichage | Aucun Autres dépendances : Afficher les modèles d’appareils et les groupes d’appareils |
| Mettre à jour | Afficher Autres dépendances : Afficher les modèles d’appareils et les groupes d’appareils |
| Créer | Afficher Autres dépendances : Afficher les modèles d’appareils et les groupes d’appareils |
| Supprimer | Afficher Autres dépendances : Afficher les modèles d’appareils et les groupes d’appareils |
| Exécuter des commandes | Mettre à jour, Afficher Autres dépendances : Afficher les modèles d’appareils et les groupes d’appareils |
| Voir les données brutes | Afficher Autres dépendances : Afficher les modèles d’appareils et les groupes d’appareils |
| Afficher les fichiers d’appareil chargés | Afficher Autres dépendances : Afficher les modèles d’appareils et les groupes d’appareils |
| Supprimer les fichiers d’appareil chargés | Afficher Autres dépendances : Afficher les modèles d’appareils et les groupes d’appareils |
| Contrôle total | Afficher, Mettre à jour, Créer, Supprimer, Exécuter des commandes, Afficher les données brutes Autres dépendances : Afficher les modèles d’appareils et les groupes d’appareils |
Autorisations des groupes d’appareils
| Nom | Dépendances |
|---|---|
| Affichage | Aucun Autres dépendances : Afficher les modèles d’appareils et les instances d’appareils |
| Mettre à jour | Afficher Autres dépendances : Afficher les modèles d’appareils et les instances d’appareils |
| Créer | Afficher, Mettre à jour Autres dépendances : Afficher les modèles d’appareils et les instances d’appareils |
| Supprimer | Afficher Autres dépendances : Afficher les modèles d’appareils et les instances d’appareils |
| Contrôle total | Afficher, Mettre à jour, Créer, Supprimer Autres dépendances : Afficher les modèles d’appareils et les instances d’appareils |
Autorisations de gestion de la connectivité des appareils
| Nom | Dépendances |
|---|---|
| Lire l’instance | Aucun Autres dépendances : Afficher les modèles d’appareils, les groupes d’appareils, les instances d’appareils |
| Gérer l’instance | Lire l’instance Autres dépendances : Afficher les modèles d’appareils, les groupes d’appareils, les instances d’appareils |
| Lire au niveau global | Aucun |
| Gérer au niveau global | Lire au niveau global |
| Contrôle total | Lire l’instance, Gérer l’instance, Lire au niveau global, Gérer au niveau global Autres dépendances : Afficher les modèles d’appareils, les groupes d’appareils, les instances d’appareils |
Manifestes de déploiement Edge
| Nom | Dépendances |
|---|---|
| Lire l’instance | Aucun Autres dépendances : Afficher les modèles d’appareils, les groupes d’appareils, les instances d’appareils |
| Gérer l’instance | Lire l’instance Autres dépendances : Afficher les modèles d’appareils, les groupes d’appareils, les instances d’appareils |
| Lire au niveau global | Aucun |
| Gérer au niveau global | Lire au niveau global |
| Contrôle total | Lire l’instance, Gérer l’instance, Lire au niveau global, Gérer au niveau global Autres dépendances : Afficher les modèles d’appareils, les groupes d’appareils, les instances d’appareils. Mettre à jour des instances d’appareil |
Autorisations de travaux
| Nom | Dépendances |
|---|---|
| Affichage | Aucun Autres dépendances : Afficher les modèles d’appareils, les instances d’appareils et les groupes d’appareils |
| Mettre à jour | Afficher Autres dépendances : Afficher les modèles d’appareils, les instances d’appareils et les groupes d’appareils |
| Créer | Afficher, Mettre à jour Autres dépendances : Afficher les modèles d’appareils, les instances d’appareils et les groupes d’appareils |
| Supprimer | Afficher Autres dépendances : Afficher les modèles d’appareils, les instances d’appareils et les groupes d’appareils |
| Exécuter | Afficher Autres dépendances : Afficher les modèles d’appareils, les instances d’appareils et les groupes d’appareils ; Mettre à jour les instances d’appareils ; Exécuter des commandes sur des instances d’appareils |
| Contrôle total | Afficher, Mettre à jour, Créer, Supprimer, Exécuter Autres dépendances : Afficher les modèles d’appareils, les instances d’appareils et les groupes d’appareils ; Mettre à jour les instances d’appareils ; Exécuter des commandes sur des instances d’appareils |
Autorisations de règles
| Nom | Dépendances |
|---|---|
| Affichage | Aucun Autres dépendances : Afficher les modèles d’appareils |
| Mettre à jour | Afficher Autres dépendances : Afficher les modèles d’appareils |
| Créer | Afficher, Mettre à jour Autres dépendances : Afficher les modèles d’appareils |
| Supprimer | Afficher Autres dépendances : Afficher les modèles d’appareils |
| Contrôle total | Afficher, Mettre à jour, Créer, Supprimer Autres dépendances : Afficher les modèles d’appareils |
Gestion de l’application
Autorisations des paramètres d’application
| Nom | Dépendances |
|---|---|
| Affichage | Aucun |
| Mettre à jour | Affichage |
| Copier | Afficher Autres dépendances : Afficher les modèles d’appareils, les instances d’appareils, les groupes d’appareils, les tableaux de bord, l’exportation de données, la personnalisation, les liens d’aide, les rôles personnalisés, les règles |
| Supprimer | Affichage |
| Contrôle total | Afficher, Mettre à jour, Copier, Supprimer Autres dépendances : Afficher les modèles d’appareils, les groupes d’appareils, les tableaux de bord d’application, l’exportation de données, la personnalisation, les liens d’aide, les rôles personnalisés, les règles |
Autorisations d’exportation du modèle d’application
| Nom | Dépendances |
|---|---|
| Affichage | Aucun |
| Exporter | Afficher Autres dépendances : Afficher les modèles d’appareils, les instances d’appareils, les groupes d’appareils, les tableaux de bord, l’exportation de données, la personnalisation, les liens d’aide, les rôles personnalisés, les règles |
| Contrôle total | Afficher, Exporter Autres dépendances : Afficher les modèles d’appareils, les groupes d’appareils, les tableaux de bord d’application, l’exportation de données, la personnalisation, les liens d’aide, les rôles personnalisés, les règles |
Autorisations de chargement de fichier d’appareil
| Nom | Dépendances |
|---|---|
| Affichage | Aucun |
| Gérer | Affichage |
| Contrôle total | Afficher, Gérer |
Autorisations de facturation
| Nom | Dépendances |
|---|---|
| Gérer | Aucun |
| Contrôle total | Gérer |
Autorisations du journal d’audit
| Nom | Dépendances |
|---|---|
| Affichage | Aucun |
| Contrôle total | Affichage |
Attention
Tout utilisateur autorisé à afficher le journal d’audit peut voir toutes les entrées de journal, même s’il n’a pas l’autorisation d’afficher ou de modifier les entités répertoriées dans le journal. Par conséquent, tout utilisateur qui peut afficher le journal peut voir l’identité et les modifications de toutes les entités modifiées.
Gestion des utilisateurs et des rôles
Autorisations de rôles personnalisés
| Nom | Dépendances |
|---|---|
| Affichage | Aucun |
| Mettre à jour | Affichage |
| Créer | Afficher, Mettre à jour |
| Supprimer | Affichage |
| Contrôle total | Afficher, Mettre à jour, Créer, Supprimer |
Autorisations de gestion des utilisateurs
| Nom | Dépendances |
|---|---|
| Affichage | Aucun Autres dépendances : Afficher les rôles personnalisés |
| Ajouter | Afficher Autres dépendances : Afficher les rôles personnalisés |
| Supprimer | Afficher Autres dépendances : Afficher les rôles personnalisés |
| Contrôle total | Afficher, Ajouter, Supprimer Autres dépendances : Afficher les rôles personnalisés |
Autorisations de gestion de l’organisation
| Nom | Dépendances |
|---|---|
| Affichage | Aucun |
| Mettre à jour | Affichage |
| Créer | Afficher, Mettre à jour |
| Supprimer | Affichage |
| Contrôle total | Afficher, Mettre à jour, Créer, Supprimer |
Remarque
Un utilisateur qui se trouve dans un rôle personnalisé qui lui accorde l’autorisation d’ajouter d’autres utilisateurs peut uniquement ajouter des utilisateurs à un rôle avec des autorisations identiques ou moins nombreuses que son propre rôle.
Personnalisation de l’application
Autorisations des tableaux de bord d’applications
| Nom | Dépendances |
|---|---|
| Affichage | Aucun |
| Mettre à jour | Affichage |
| Créer | Afficher, Mettre à jour |
| Supprimer | Affichage |
| Contrôle total | Afficher, Mettre à jour, Créer, Supprimer |
Autorisations des tableaux de bord personnels
| Nom | Dépendances |
|---|---|
| Affichage | Aucun |
| Mettre à jour | Affichage |
| Créer | Afficher, Mettre à jour |
| Supprimer | Affichage |
| Contrôle total | Afficher, Mettre à jour, Créer, Supprimer |
Autorisations de l’explorateur de données
| Nom | Dépendances |
|---|---|
| Affichage | Aucun Autres dépendances : Afficher les groupes d’appareils, les modèles d’appareils, les instances d’appareils |
| Mettre à jour | Afficher Autres dépendances : Afficher les groupes d’appareils, les modèles d’appareils, les instances d’appareils |
| Créer | Afficher, Mettre à jour Autres dépendances : Afficher les groupes d’appareils, les modèles d’appareils, les instances d’appareils |
| Supprimer | Afficher Autres dépendances : Afficher les groupes d’appareils, les modèles d’appareils, les instances d’appareils |
| Contrôle total | Afficher, Mettre à jour, Créer, Supprimer Autres dépendances : Afficher les groupes d’appareils, les modèles d’appareils, les instances d’appareils |
Autorisations Marque, Icône favorite et Couleurs
| Nom | Dépendances |
|---|---|
| Affichage | Aucun |
| Mettre à jour | Affichage |
| Contrôle total | Afficher, Mettre à jour |
Autorisations de liens d’aide
| Nom | Dépendances |
|---|---|
| Affichage | Aucun |
| Mettre à jour | Affichage |
| Contrôle total | Afficher, Mettre à jour |
Extension de l’application
Autorisations d’exportation de données
| Nom | Dépendances |
|---|---|
| Affichage | Aucun |
| Mettre à jour | Affichage |
| Créer | Afficher, Mettre à jour |
| Supprimer | Affichage |
| Contrôle total | Afficher, Mettre à jour, Créer, Supprimer |
Autorisations de jeton d’API
| Nom | Dépendances |
|---|---|
| Affichage | Aucun Autres dépendances : Afficher les rôles personnalisés |
| Créer | Afficher Autres dépendances : Afficher les rôles personnalisés |
| Supprimer | Afficher Autres dépendances : Afficher les rôles personnalisés |
| Contrôle total | Afficher, Créer, Supprimer Autres dépendances : Afficher les rôles personnalisés |