Azure Digital Twins インスタンスと認証を設定する (ポータル)

この記事では、新しい Azure Digital Twins インスタンスを設定する手順 (インスタンスの作成と認証の設定を含む) について説明します。 この記事を完了すると、Azure Digital Twins インスタンスのプログラミングを開始する準備が整います。

この記事のこのバージョンでは、Azure portal を使用して、これらの手順を 1 つずつ手動で実行します。 Azure portal は、コマンドライン ツールに代えて使用できる、Web ベースの統合コンソールです。

新しい Azure Digital Twins インスタンスのための設定全体は、2 つの部分で構成されます。

  1. インスタンスの作成
  2. ユーザーのアクセス許可の設定: Azure ユーザーが Azure Digital Twins インスタンスとそのデータを管理するには、Azure Digital Twins データ所有者ロールが必要です。 この手順では、Azure サブスクリプションの所有者/管理者が、Azure Digital Twins インスタンスを管理することになる人にこのロールを割り当てます。 これは、自分自身のこともあれば、組織内の他の人であることもあります。

重要

このすべての記事を完了し、使用可能なインスタンスを完全に設定するには、Azure サブスクリプションのリソースとユーザーの両方へのアクセスを管理するためのアクセス許可が必要です。 最初の手順は、サブスクリプションでリソースを作成できる人であればだれでも完了できますが、2 番目の手順では、ユーザー アクセス管理のアクセス許可 (またはこれらのアクセス許可を持つ人の協力) が必要です。 この詳細については、ユーザー アクセス権限手順の「前提条件:権限の要件」セクションを参照してください。

Azure Digital Twins インスタンスを作成する

このセクションでは、Azure portal を使用して、Azure Digital Twins の新しいインスタンスを作成します。 ポータルに移動し、自分の資格情報でログインします。

  1. Azure portal に入ったら、Azure サービスのホーム ページ メニューで [リソースの作成] を選択して開始します。

    ホーム ページの [リソースの作成] アイコンが強調表示されている Azure portal のスクリーンショット。

  2. 検索ボックスで azure digital twins を検索し、結果から [Azure Digital Twins] サービスを選択します。

    [プラン] フィールドは [Azure Digital Twins] に設定したままにし、[作成] ボタンを選択してサービスの新しいインスタンスの作成を開始します。

    Azure Digital Twins サービス ページの [作成] ボタンが強調表示されている Azure portal のスクリーンショット。

  1. 以下の [リソースの作成] ページで、次に示した値を入力します。

    • サブスクリプション : 使用している Azure サブスクリプション
      • リソース グループ : インスタンスの配置先にするリソース グループ。 検討できる既存のリソース グループがまだない場合は、[新規作成] リンクを選択して新しいリソース グループの名前を入力することで、ここで作成することができます
    • 場所 : 配置用の Azure Digital Twins 対応リージョン。 リージョンのサポートに関する詳細については、"リージョン別の利用可能な Azure 製品 (Azure Digital Twins)" に関するページを参照してください。
    • リソース名 : Azure Digital Twins インスタンスの名前。 サブスクリプションのリージョンに、指定した名前がすでに使用されている別の Azure Digital Twins インスタンスがある場合は、別の名前を選択するように求められます。
    • [リソースへのアクセスを許可する]: このセクションのボックスをオンにすると、インスタンス内のデータにアクセスして管理するためのアクセス許可が Azure アカウントに付与されます。 ご自分でインスタンスを管理する場合は、ここでこのチェック ボックスをオンにしてください。 サブスクリプションにアクセス許可がないため、これが淡色表示されている場合は、リソースの作成を続行し、後で必要なアクセス許可を持つ人にロールを付与してもらうことができます。 このロールとインスタンスへのロールの割り当ての詳細については、次のセクション「ユーザーのアクセス許可を設定する」を参照してください。

    Azure portal の Azure Digital Twins の [リソースの作成] プロセスのスクリーンショット。記述された値が入力されます。

  2. 操作を完了し、インスタンスの設定をこれ以上構成しない場合は、[確認と作成] を選択できます。 これにより、[概要] ページに移動し、入力したインスタンスの詳細を確認して [作成] で完了できます。

    インスタンスの詳細をさらに構成する場合は、次のセクションに残りの設定タブの説明があります。

その他の設定オプション

ここでは、[リソースの作成] プロセスで他のタブを使用して、設定中に構成できる追加のオプションを示します。

正常に実行されたことを確認して重要な値を収集する

[作成] を選択してインスタンスの設定を終了すると、ポータル アイコン バーの Azure 通知にインスタンスのデプロイの状態が表示されます。 デプロイが成功すると通知が表示され、その時点で、作成したインスタンスを表示するための [リソースに移動] ボタンを選択できるようになります。

Azure portal での、デプロイの成功の表示と [リソースに移動] ボタンの強調表示がある Azure 通知のスクリーンショット。

デプロイが失敗した場合は、その理由が通知に示されます。 エラー メッセージの通知内容を確認して、インスタンスの作成を再試行します。

ヒント

インスタンスが作成されたら、Azure portal の検索バーでインスタンスの名前を検索して、いつでもそのページに戻ることができます。

インスタンスの [概要] ページで、[名前][リソース グループ]、および [ホスト名] をメモします。 これらの値はすべて重要であり、Azure Digital Twins インスタンスの操作を続行する際に使用が必要になる可能性のある重要な値です。 他のユーザーがそのインスタンスに対してプログラミングする場合は、これらの値を彼らと共有する必要があります。

Azure Digital Twins インスタンスの [概要] ページで重要な値が強調表示されている Azure portal のスクリーンショット。

これで、Azure Digital Twins インスタンスの準備が完了しました。 次に、それを管理するための適切な Azure ユーザー アクセス許可を付与します。

ユーザーのアクセス許可を設定する

Azure Digital Twins では、Microsoft Entra ID をロールベースのアクセス制御 (RBAC) に使用します。 つまり、ユーザーが Azure Digital Twins インスタンスへのデータ プレーン呼び出しを行うには、そのための適切なアクセス許可を持つロールをそのユーザーに割り当てておく必要があります。

Azure Digital Twins の場合、このロールは "Azure Digital Twins Data Owner" (Azure Digital Twins データ所有者) です。 ロールとセキュリティの詳細については、Azure Digital Twins ソリューションのセキュリティに関するページを参照してください。

Note

このロールは、Azure Digital Twins インスタンスのスコープでも割り当てることができる Microsoft Entra ID [所有者] ロールとは異なります。 これらは 2 つの個別の管理ロールであり、Azure Digital Twins データ所有者 で許可されるデータ プレーンへのアクセス機能は所有者に付与されません。

このセクションでは、Azure サブスクリプションの Microsoft Entra テナント内のユーザーの電子メールを使用して、Azure Digital Twins インスタンスでのそのユーザーのロールの割り当てを作成する方法について説明します。 組織内のロールによっては、このアクセス許可を自分で設定するか、または Azure Digital Twins インスタンスを管理するだれか他のユーザーの代わりに設定する可能性があります。

Azure Digital Twins でユーザーへのロールの割り当てを作成するには、次の 2 つの方法があります。

どちらも同じアクセス許可が必要です。

前提条件: 権限の要件

次のすべての手順を実行するには、次のアクセス許可を持つサブスクリプションのロールが必要です。

  • Azure リソースのデプロイおよび管理
  • Azure リソースへのユーザー アクセスの管理 (アクセス許可の付与と委任を含む)

この要件を満たす一般的なロールは、所有者アカウント管理者ユーザー アクセス管理者共同作成者の組み合わせです。 他のロールが含まれているアクセス許可など、ロールとアクセス許可の詳細については、Azure RBAC のドキュメントの「Azure ロール、Microsoft Entra ロール、従来のサブスクリプション管理者ロール」をご覧ください。

ご自分のサブスクリプションのロールを確認するには、Azure portal 上のサブスクリプション ページにアクセスします (このリンクを使用するか、ポータルの検索バーを使って "サブスクリプション" を検索できます)。 使用しているサブスクリプションの名前を検索し、それに対応するロールを [自分の役割] 列で確認します。

ユーザーが所有者として表示されている Azure portal 上のサブスクリプション ページのスクリーンショット。

その値が共同作成者、または前述した必要なアクセス許可を持たない別のロールである場合は、こうしたアクセス許可を持つサブスクリプションのユーザー (サブスクリプションの所有者やアカウント管理者など) に問い合わせて、次のいずれかの方法で続行することができます。

  • 自分の代わりにロール割り当て手順を完了してもらうように依頼する。
  • ご自身で続行するためのアクセス許可が付与されるように、サブスクリプションのロールを昇格するように依頼する。 これが適切かどうかは、ユーザーの組織やその中での職責によって異なります。

インスタンスの作成時にロールを割り当てる

この記事で前述したプロセスを使用して Azure Digital Twins リソースを作成する際に、[リソースへのアクセスを許可する][Azure Digital Twins データ所有者ロールを割り当てる] を選択します。 これにより、データ プレーン API へのフル アクセスが許可されます。

Azure portal での Azure Digital Twins の [リソースの作成] プロセスのスクリーンショット。[リソースへのアクセスを許可する] の下のチェック ボックスが強調表示されています。

ID にロールを割り当てるアクセス許可を持ってない場合、ボックスは淡色表示になります。

Azure portal での Azure Digital Twins の [リソースの作成] プロセスのスクリーンショット。[リソースへのアクセスを許可する] の下のチェック ボックスが無効になっています。

その場合でも、引き続き Azure Digital Twins リソースを正常に作成できますが、適切なアクセス許可を持つ人に、このロールを自分またはインスタンスのデータを管理する人に割り当ててもらう必要があります。

Azure Identity Management (IAM) を使用してロールを割り当てる

Azure Identity Management (IAM) のアクセス制御オプションを使用して、Azure Digital Twins データ所有者ロールを割り当てることもできます。

  1. 最初に、Azure portal 上の Azure Digital Twins インスタンスのページを開きます。

  2. [アクセス制御 (IAM)] を選択します。

  3. [追加]>[ロールの割り当ての追加] を選択して、[ロールの割り当ての追加] ページを開きます。

  4. Azure Digital Twins データ所有者ロールを割り当てます。 詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

    設定
    ロール Azure Digital Twins データ所有者
    アクセスの割り当て先 ユーザー、グループ、またはサービス プリンシパル
    メンバー 割り当てるユーザーの名前またはメール アドレスを検索する

    [ロールの割り当ての追加] ページ

成功を確認する

[Access Control (IAM)] > [ロールの割り当て] 下で設定したロールの割り当てを確認できます。 一覧に "Azure Digital Twins Data Owner" (Azure Digital Twins データ所有者) のロールを持つユーザーが表示されます。

Azure portal での Azure Digital Twins インスタンスのロールの割り当てのスクリーンショット。

これで、Azure Digital Twins インスタンスの準備が完了し、これを管理するためのアクセス許可が割り当てられました。

インスタンスのマネージド ID を有効または無効にする

このセクションでは、マネージド ID (システム割り当てまたはユーザー割り当て) を既存の Azure Digital Twins インスタンスに追加する方法について説明します。 また、このページを使用して、ID が既に追加されているインスタンスでマネージド ID を無効にすることもできます。

まずブラウザーで Azure portal を開きます。

  1. ポータルの検索バーでお使いのインスタンスの名前を検索し、それを選択して詳細を表示します。

  2. 左側のメニューで [Identity]\(ID\) を選択します。

  3. タブを使用して、追加または削除するマネージド ID の種類を選択します。

    1. システム割り当て: このタブを選択した後、[オン] オプションを選択してこの機能を有効にするか、[オフ] を選択して削除します。

      Azure Digital Twins のインスタンスの Identity (ID) ページとシステム割り当てオプションが表示されている Azure portal のスクリーンショット。

      [保存] ボタンを選択し、[はい] を選択して確定します。 システム割り当て ID が有効になると、新しい ID のオブジェクト IDアクセス許可 (Azure ロールの割り当て) を示すその他のフィールドがこのページに表示されます。

    2. ユーザー割り当て (プレビュー): このタブを選択した後、[ユーザー割り当てマネージド ID の関連付け] を選択し、プロンプトに従ってインスタンスに関連付ける ID を選択します。

      Azure Digital Twins のインスタンスの Identity (ID) ページとユーザー割り当てオプションが表示されている Azure portal のスクリーンショット。

      または、無効にする ID がここに既に一覧表示されている場合は、一覧の横にあるチェック ボックスをオンにして [削除] します。

      ID が追加されたら、ここで一覧から ID の名前を選択して、その詳細を開くことができます。 その詳細ページから、そのオブジェクト ID を表示し、左側のメニューを使用して [Azure ロールの割り当て] を確認できます。

マネージド ID を無効にする場合の考慮事項

ID またはそのロールに対する変更が、それを使用するリソースに及ぼす影響を考慮することが重要です。 マネージド ID を Azure Digital Twins エンドポイントまたはデータ履歴で使用している場合、ID を無効にするか、必要なロールをそれから削除すると、エンドポイントまたはデータ履歴の接続にアクセスできなくなる可能性があり、イベントのフローが中断されます。

次のステップ

Azure Digital Twins CLI コマンドを使用して、インスタンスでの個別の REST API 呼び出しをテストします。

または、認証コードを使ってクライアント アプリケーションをインスタンスに接続する方法を確認します。