通过

向环境授予数据访问权限

  • 项目

注意

时序见解服务将于 2024 年 7 月 7 日停用。 请考虑尽快将现有环境迁移到备用解决方案。 有关弃用和迁移的更多信息,请访问我们的 文档

本文讨论两种类型的 Azure 时序见解访问策略。

警告

访问策略授予对时序见解环境的Microsoft Entra 用户和/或组数据平面访问权限。 Microsoft Entra ID 与租户绑定。 因此,如果你决定在租户之间移转订阅,请确保按照下面部分中的 过程进行操作。

登录 Azure Time Series Insights

  1. 登录到 Azure 门户
  2. 通过在 搜索 框中输入 Time Series Insights environments 来查找 Azure 时间序列见解环境。 在搜索结果中选择 Time Series Insights environments
  3. 从列表中选择 Azure 时间序列见解环境。

授予数据访问权限

按照以下步骤为用户主体授予数据访问权限。

  1. 选择 数据访问策略,然后选择 + 添加

    选择并添加数据访问策略

  2. 选择 选择用户。 搜索用户名或电子邮件地址以查找要添加的用户。 选择 选择 以确认选择。

    选择一个用户以添加

  3. 选择 选择角色。 为用户选择适当的访问角色:

    • 如果希望允许用户修改参考数据,并与其他环境用户共享保存的查询和视角,请选择 参与者

    • 否则,请选择 读取器,以允许用户查询环境中的数据,并在环境中保存个人查询,而不是共享查询。

    选择 “OK” 以确认角色选择。

    确认所选角色

  4. “选择用户角色” 页上,选择确定

    在“选择用户角色”页上选择“确定”

  5. 确认 数据访问策略 页列出了每个用户的用户和角色。

    验证正确的用户和角色

从另一个 Microsoft Entra 租户为来宾提供访问权限

Guest 角色不是管理角色。 它是一个术语,用于从一个租户邀请到另一个租户的帐户。 当邀请来宾帐户加入租户目录后,可以对其施加与任何其他帐户相同的访问控制。 可以使用访问控制(IAM)面板授予对 Azure 时序见解环境的管理访问权限。 或者,可以通过“数据访问策略”边栏选项卡授予对环境中数据的访问权限。 有关 Microsoft Entra 来宾租户访问的详细信息,请参阅 在 Azure 门户中添加 Microsoft Entra B2B 协作用户

按照以下步骤向来自另一个租户的 Microsoft Entra 用户授予对 Azure 时序见解环境的来宾访问权限。

  1. 转到 Azure 门户,单击 Microsoft Entra ID,向下滚动到 概述 选项卡上,然后选择 来宾用户

    选择数据访问策略,然后 +邀请

  2. 输入要邀请的用户的电子邮件地址。 此电子邮件地址必须与 Microsoft Entra ID 相关联。 可以选择在邀请中附带一条个人消息。

    输入电子邮件地址以查找所选用户

  3. 寻找屏幕上显示的确认气泡。 还可以单击 通知 以确认添加了来宾用户。

    查找确认气泡出现

  4. 返回到时序见解环境,添加新创建的来宾用户。 单击 数据访问策略,如在 授予数据访问中所描述。 选择用户。 搜索您邀请的来宾用户的电子邮件地址,以找到您想添加的用户。 然后,选择 以确认选择。

    选择用户并确认选择

  5. 选择 选择角色。 为来宾用户选择适当的访问角色:

    • 如果要允许用户更改参考数据,并与环境中的其他用户共享保存的查询和视角,请选择 参与者

    • 否则,请选择 阅读器,允许用户查询环境中的数据,并在环境中保存个人查询而非共享查询。

    选择 确定 以确认角色选择。

    确认角色选择

  6. “选择用户角色” 页上,选择 “确定”

  7. 确认 数据访问策略 页列出了来宾用户和每个来宾用户的角色。

    验证是否已正确分配用户和角色

  8. 现在,来宾用户将在上面指定的电子邮件地址收到邀请电子邮件。 来宾用户将选择 “开始使用” 以确认其接受并连接到 Azure 云。

    来宾选择“开始”以接受

  9. 选择 开始后,来宾用户将看到与管理员组织相关的一个权限框。 当他们选择接受并授予权限后,将会登录。

    来宾审查权限并接受

  10. 管理员 将环境 URL 共享给其来宾。

  11. 在来宾用户登录到你用来邀请他们的电子邮件地址后,他们接受邀请后,他们将被定向到 Azure 门户。

  12. 来宾现在可以使用管理员提供的环境 URL 访问共享环境。 他们可以在 Web 浏览器中输入该 URL,以便立即访问。

  13. 在时序数据浏览器的右上角选择他们的个人资料图标后,管理员的租户信息将显示给来宾用户。

    在insights.azure.com上选择阿凡达

    来宾用户选择管理员的租户后,他们将能够选择使用共享的 Azure 时序洞察环境。

    他们现在具备了你在第 步骤中授予的与角色关联的所有权限。

    来宾用户从下拉列表中选择 Azure 租户

跨租户移动订阅的过程

Time Series Insights 数据访问策略由 Microsoft Entra ID 提供支持,并与订阅所对应的 Azure 租户关联。

向数据访问策略授予访问权限的 Microsoft Entra 对象与时序数据洞察环境本身,应位于同一租户下。 否则,这些对象将无法访问环境。

如果您计划将环境所在的订阅迁移到其他租户,必须确保更新数据访问策略,以便反映新租户下的 Microsoft Entra 对象。

若要使此过程顺利进行,请执行以下步骤。

在将订阅移动到另一个租户之前

  • 在源租户中时,请确保从环境中保留当前数据访问策略分配的列表。
  • 在将订阅迁移到目标租户中的 Active Directory 后,请确保你仍希望有权访问环境的用户、组或应用。
  • 确保您自己或与您合作的人在移动订阅后至少具有对订阅的贡献者访问权限,这样就可以在目标租户的环境中重新应用数据访问策略。

将订阅移动到另一个租户后

在目标租户中拥有订阅的贡献者权限,你可以

  • 删除随环境一起迁移的所有数据访问策略,因为它们属于源租户。
  • 使用上述步骤向环境重新授予访问策略,现在指向目标租户中的Microsoft Entra 对象。

后续步骤

  • 阅读 身份验证和授权,了解 Microsoft Entra 应用注册步骤。

  • 在 Azure 时序见解浏览器中查看环境