次の方法で共有

Azure Digital Twins インスタンスと認証を設定する (ポータル)

この記事では、新しい Azure Digital Twins インスタンスを設定する手順 (インスタンスの作成と認証の設定を含む) について説明します。 この記事を完了すると、Azure Digital Twins インスタンスのプログラミングを開始する準備が整います。

この記事のこのバージョンでは、Azure portal を使用して、これらの手順を 1 つずつ手動で実行します。 Azure portal は、コマンドライン ツールに代えて使用できる、Web ベースの統合コンソールです。

新しい Azure Digital Twins インスタンスのための設定全体は、2 つの部分で構成されます。

  1. インスタンスの作成。
  2. ユーザー アクセス許可の設定: Azure ユーザーは、Azure Digital Twins インスタンスとそのデータを管理できるようにするには、Azure Digital Twins データ所有者 ロールを持っている必要があります。 この手順では、Azure サブスクリプションの所有者または管理者として、Azure Digital Twins インスタンスを管理するユーザーにこのロールを割り当てます。 このユーザーは、自分または組織内の他のユーザーである可能性があります。

重要

この完全な記事を完了し、使用可能なインスタンスを設定するには、Azure サブスクリプションのリソースとユーザー アクセスの両方を管理するためのアクセス許可が必要です。 サブスクリプションでリソースを作成できるユーザーは誰でも最初の手順を完了できますが、2 番目の手順ではユーザー アクセス管理アクセス許可 (またはこれらのアクセス許可を持つユーザーの協力) が必要です。 必要なアクセス許可の詳細については、「前提条件: ユーザー アクセス許可ステップに 必要なアクセス許可 」セクションを参照してください。

Azure Digital Twins インスタンスを作成する

このセクションでは、Azure portal を使用して Azure Digital Twins の新しいインスタンスを作成 します。 ポータルに移動し、資格情報を使用してサインインします。

  1. ポータルで、まず Azure サービスのホーム ページ メニューで [ リソースの作成 ] を選択します。

    ホーム ページの [リソースの作成] アイコンが強調表示されている Azure portal のスクリーンショット。

  2. 検索ボックスで Azure Digital Twins を検索し、結果から Azure Digital Twins サービスを選択します。

    [プラン] フィールドは Azure Digital Twins に設定したまま、[作成] ボタンを選択してサービスの新しいインスタンスの作成を開始します。

    Azure Digital Twins サービス ページの [作成] ボタンが強調表示されている Azure portal のスクリーンショット。

  1. 次の [ リソースの作成 ] ページで、次の値を入力します。

    • サブスクリプション: 使用している Azure サブスクリプション。
      • リソース グループ: インスタンスをデプロイするリソース グループ。 既存のリソース グループをまだ念頭に置いていない場合は、[新しい作成] リンクを選択し、 新しい リソース グループの名前を入力して作成できます。
    • リソース名: Azure Digital Twins インスタンスの名前。 サブスクリプションのリージョンに、指定した名前がすでに使用されている別の Azure Digital Twins インスタンスがある場合は、別の名前を選択するように求められます。
    • リージョン: デプロイ用の Azure Digital Twins 対応リージョン。 リージョンのサポートの詳細については、リージョン 別に利用可能な Azure 製品 (Azure Digital Twins) に関するページを参照してください。
    • リソースへのアクセスを許可する: このセクションのチェック ボックスをオンにすると、インスタンス内のデータにアクセスして管理するためのアクセス許可が Azure アカウントに付与されます。 ご自分でインスタンスを管理する場合は、ここでこのチェック ボックスをオンにしてください。 サブスクリプションにアクセス許可がないため、これが淡色表示されている場合は、リソースの作成を続行し、後で必要なアクセス許可を持つ人にロールを付与してもらうことができます。 このロールとインスタンスへのロールの割り当ての詳細については、次のセクション「 ユーザー アクセス許可の設定」を参照してください。

    Azure portal の Azure Digital Twins のリソースの作成プロセスのスクリーンショット。記述された値が入力されます。

  2. 完了したら、インスタンスの設定をこれ以上構成しない場合は、[ 確認と作成 ] を選択できます。 そうすることで、入力したインスタンスの詳細を確認し、[ 作成] で完了できる概要ページが表示されます。

    インスタンスの詳細をさらに構成する場合は、次のセクションに残りの設定タブの説明があります。

その他の設定オプション

リソースの 作成 プロセスの他のタブを使用して、セットアップ中に構成できる追加のオプションを次に示します。

  • ネットワーク: このタブでは、 Azure Private Link を使用してプライベート エンドポイントを有効にして、インスタンスへのパブリック ネットワークの公開を排除できます。 手順については、「 Private Link でプライベート アクセスを有効にする」を参照してください。
  • 詳細: このタブでは、インスタンスのシステム割り当て マネージド ID を 有効にすることができます。 このオプションを有効にすると、Azure は Microsoft Entra ID でインスタンスの ID を自動的に作成します。これは、他のサービスに対する認証に使用できます。 ここでインスタンスを作成している間、または既存のインスタンスで 後でインスタンスを作成するときに、そのシステム割り当てマネージド ID を有効にすることができます。 代わりにユーザー割り当てマネージド ID を有効にする場合は、既存のインスタンスで後で有効にする必要があります。
  • タグ: このタブでは、インスタンスにタグを追加して、Azure リソース間でタグを整理できます。 Azure リソース タグの詳細については、「 論理的な組織のリソース、リソース グループ、サブスクリプションにタグを付けます。」を参照してください。

正常に実行されたことを確認して重要な値を収集する

[ 作成] を選択してインスタンスのセットアップを完了すると、ポータル アイコン バーに沿って Azure 通知でインスタンスのデプロイの状態を表示できます。 この通知はデプロイが成功したタイミングを示します。その時点で、[ リソースに移動 ] ボタンを選択して作成したインスタンスを表示できます。

デプロイが成功し、Azure portal の [リソースに移動] ボタンが強調表示されている Azure 通知のスクリーンショット。

デプロイが失敗した場合は、その理由が通知に示されます。 エラー メッセージの通知内容を確認して、インスタンスの作成を再試行します。

ヒント

インスタンスが作成されたら、Azure portal の検索バーでインスタンスの名前を検索して、いつでもそのページに戻ることができます。

インスタンスの [概要 ] ページで、その 名前リソース グループ、および ホスト名をメモします。 これらの値はすべて重要であり、Azure Digital Twins インスタンスの操作を続行する際に使用する必要がある可能性があります。 他のユーザーがそのインスタンスに対してプログラミングする場合は、これらの値を彼らと共有する必要があります。

Azure Portal のスクリーンショット。Azure Digital Twins インスタンスの [概要] ページの重要な値が強調表示されています。

これで、Azure Digital Twins インスタンスの準備が完了しました。 次に、それを管理するための適切な Azure ユーザー アクセス許可を付与します。

ユーザーのアクセス許可を設定する

Azure Digital Twins では、ロールベースのアクセス制御 (RBAC) に Microsoft Entra ID が 使用されます。 つまり、ユーザーが Azure Digital Twins インスタンスへのデータ プレーン呼び出しを行うには、そのための適切なアクセス許可を持つロールをそのユーザーに割り当てておく必要があります。

Azure Digital Twins の場合、このロールは Azure Digital Twins データ所有者です。 ロールとセキュリティの詳細については、 Azure Digital Twins ソリューションのセキュリティに関するページを参照してください。

このロールは、Microsoft Entra ID 所有者 ロールとは異なり、Azure Digital Twins インスタンスのスコープで割り当てることもできます。 これらは 2 つの異なる管理ロールであり、 所有者Azure Digital Twins データ所有者で付与されるデータ プレーン機能へのアクセスを許可しません。

このセクションでは、Azure サブスクリプションの Microsoft Entra テナントでそのユーザーの電子メールを使用して、Azure Digital Twins インスタンス内のユーザーのロールの割り当てを作成する方法について説明します。 組織内のロールに応じて、このアクセス許可を自分用に設定するか、Azure Digital Twins インスタンスを管理する他のユーザーに代わって設定することができます。

Azure Digital Twins でユーザーへのロールの割り当てを作成するには、次の 2 つの方法があります。

どちらも同じアクセス許可が必要です。

前提条件: 権限の要件

次のすべての手順を完了するには、 サブスクリプションに 次のアクセス許可を持つロールが必要です。

  • Azure リソースのデプロイおよび管理
  • Azure リソースへのユーザー アクセスの管理 (アクセス許可の付与と委任を含む)

この要件を満たす一般的なロールは、 所有者アカウント管理者、または ユーザー アクセス管理者共同作成者の組み合わせです。 他のロールに含まれるアクセス許可など、ロールとアクセス許可の詳細については、Azure RBAC ドキュメントの Azure ロール、Microsoft Entra ロール、クラシック サブスクリプション管理者ロール に関するページを参照してください。

サブスクリプションでロールを表示するには、Azure portal の [ サブスクリプション] ページ にアクセスします (このリンクを使用するか、ポータル検索バーで サブスクリプション を探すことができます)。 使用しているサブスクリプションの名前を探し、[自分のロール] 列でその サブスクリプションのロール を表示します。

Azure portal の [サブスクリプション] ページのスクリーンショット。ユーザーが所有者として表示されています。

値が 共同作成者、または前述の必要なアクセス許可を持たない別のロールである場合は、これらのアクセス許可を持つサブスクリプションのユーザー (サブスクリプション所有者やアカウント管理者など) に連絡し、次のいずれかの方法で続行できます。

  • 自分の代わりにロール割り当て手順を完了してもらうように依頼する。
  • 自身で続行するためのアクセス許可が付与されるよう、サブスクリプションのロールを昇格するように依頼します。 この要求が適切かどうかは、組織とその中のユーザーのロールによって異なります。

インスタンスの作成時にロールを割り当てる

この記事で前述したプロセスを使用して Azure Digital Twins リソースを作成するときに、[リソースへのアクセスを許可する] で [Azure Digital Twins データ所有者ロールの割り当て] を選択します。 これにより、データ プレーン API へのフル アクセスが許可されます。

Azure portal の Azure Digital Twins のリソースの作成プロセスのスクリーンショット。[リソースへのアクセスを許可する] の下のチェック ボックスが強調表示されています。

ID にロールを割り当てるアクセス許可を持ってない場合、ボックスは淡色表示になります。

Azure portal の Azure Digital Twins のリソースの作成プロセスのスクリーンショット。[リソースへのアクセスを許可する] の下のチェック ボックスは無効になっています。

その場合でも、引き続き Azure Digital Twins リソースを正常に作成できますが、適切なアクセス許可を持つユーザーに、このロールを自分またはインスタンスのデータを管理するユーザーに割り当ててもらう必要があります。

Azure Identity Management (IAM) を使用してロールを割り当てる

Azure Identity Management (IAM) のアクセス制御オプションを使用して、Azure Digital Twins データ所有者 ロールを割り当てることもできます。

  1. 最初に、Azure portal 上の Azure Digital Twins インスタンスのページを開きます。

  2. [アクセス制御 (IAM)] を選択します。

  3. [ 追加]>[ロールの割り当ての追加 ] を選択して、[ロールの割り当ての追加] ページを開きます。

  4. Azure Digital Twins データ所有者ロールを割り当てます。 詳細な手順については、 Azure portal を使用した Azure ロールの割り当てに関するページを参照してください。

    設定
    ロール Azure Digital Twins データ所有者
    アクセスの割り当て先 ユーザー、グループ、またはサービス プリンシパル
    メンバー 割り当てるユーザーの名前またはメール アドレスを検索する

    ロール割り当てページを追加

成功を確認する

[ アクセス制御 (IAM)] > [ロールの割り当て] で設定したロールの割り当てを表示できます。 Azure Digital Twins データ所有者 のロールを持つユーザーが一覧に表示されます。

Azure portal での Azure Digital Twins インスタンスのロールの割り当てのスクリーンショット。

これで、Azure Digital Twins インスタンスの準備が完了し、これを管理するためのアクセス許可が割り当てられました。

インスタンスのマネージド ID を有効または無効にする

このセクションでは、マネージド ID (システム割り当てまたはユーザー割り当て) を既存の Azure Digital Twins インスタンスに追加する方法について説明します。 また、このページを使用して、ID が既に追加されているインスタンスでマネージド ID を無効にすることもできます。

まず、ブラウザーで Azure portal を開きます。

  1. ポータルの検索バーでお使いのインスタンスの名前を検索し、それを選択して詳細を表示します。

  2. 左側のメニュー で [設定 > ID] を 選択します。

  3. タブを使用して、追加または削除するマネージド ID の種類を選択します。

    1. システム割り当て: このタブを選択した後、[ オン ] オプションを選択してこの機能を有効にするか、[ オフ] を選択して削除します。

      Azure Portal のスクリーンショット。Azure Digital Twins インスタンスの [ID] ページとシステム割り当てオプションが表示されています。

      [保存] ボタンを選択し、[はい] を選択して確定します。 システム割り当て ID が有効になると、新しい ID の オブジェクト IDアクセス許可 (Azure ロールの割り当て) を示すフィールドがこのページに表示されます。

    2. ユーザー割り当て (プレビュー):このタブを選択した後、[ ユーザー割り当てマネージド ID の関連付け ] を選択し、プロンプトに従ってインスタンスに関連付ける ID を選択します。

      Azure Portal のスクリーンショット。Azure Digital Twins インスタンスの [ID] ページとユーザー割り当てオプションが表示されています。

      または、無効にする ID が既にここに一覧表示されている場合は、一覧の横にあるチェック ボックスをオンにして 削除 できます。

      ID が追加されたら、ここで一覧から ID の名前を選択して、その詳細を開くことができます。 詳細ページでは、 そのオブジェクト ID を 表示し、左側のメニューを使用して Azure ロールの割り当てを確認できます。

マネージド ID を無効にする場合の考慮事項

ID またはそのロールに対する変更が、それを使用するリソースに及ぼす影響を考慮することが重要です。 Azure Digital Twins エンドポイントでマネージド ID を使用している場合、またはデータ履歴に ID が無効になっている場合、または必要なロールが無効になっている場合、エンドポイントまたはデータ履歴の接続にアクセスできなくなり、イベントのフローが中断される可能性があります。

次のステップ

Azure Digital Twins CLI コマンドを使用して、インスタンスでの個別の REST API 呼び出しをテストします。

または、認証コードを使ってクライアント アプリケーションをインスタンスに接続する方法を確認します。