Microsoft Defender pro správu uživatelů IoT

Microsoft Defender for IoT poskytuje nástroje v Azure Portal i v místním prostředí pro správu přístupu uživatelů napříč prostředky Defenderu for IoT.

Uživatelé Azure pro Defender for IoT

V Azure Portal se uživatelé spravují na úrovni předplatného pomocí Azure Active Directory (AAD) a řízení přístupu na základě role v Azure (RBAC). Uživatelé předplatného Azure můžou mít jednu nebo více rolí uživatelů, které určují data a akce, ke kterým mají přístup z Azure Portal, a to i v Defenderu for IoT.

Pomocí portálu nebo PowerShellu přiřaďte uživatelům předplatného Azure konkrétní role, které budou potřebovat k zobrazení dat a provedení akcí, například jestli budou zobrazovat upozornění nebo data zařízení nebo spravovat cenové plány a senzory.

Další informace najdete v tématu Role uživatelů Azure pro monitorování OT a Enterprise IoT.

Místní uživatelé pro Defender for IoT

Při práci se sítěmi OT jsou služby a data Defenderu for IoT kromě Azure Portal k dispozici také z místních síťových senzorů OT a z místní konzoly pro správu senzorů.

Kromě Azure budete muset definovat místní uživatele jak v síťových senzorech OT, tak v místní konzole pro správu. Senzory OT i místní konzola pro správu se instalují se sadou výchozích privilegovaných uživatelů, které můžete použít k definování dalších správců a dalších uživatelů.

Přihlaste se ke snímačům OT, abyste mohli definovat uživatele senzorů, a přihlaste se k místní konzole pro správu a definujte uživatele místní konzoly pro správu.

Další informace najdete v tématu Místní uživatelé a role pro monitorování OT pomocí Defenderu pro IoT.

Podpora služby Active Directory na senzorech a místních konzolách pro správu

Možná budete chtít nakonfigurovat integraci mezi senzorem a službou Active Directory, aby se uživatelé služby Active Directory mohli přihlašovat k vašemu senzoru, nebo používat skupiny služby Active Directory s kolektivními oprávněními přiřazenými všem uživatelům ve skupině.

Službu Active Directory můžete použít například v případě, že máte velký počet uživatelů, kterým chcete přiřadit přístup jen pro čtení , a chcete tato oprávnění spravovat na úrovni skupiny.

Integrace Defenderu for IoT se službou Active Directory podporuje protokol LDAP v3 a následující typy ověřování na základě protokolu LDAP:

  • Úplné ověřování: Ze serveru LDAP se načtou podrobnosti o uživateli. Mezi příklady patří jméno, příjmení, e-mail a uživatelská oprávnění.

  • Důvěryhodný uživatel: Načte se pouze heslo uživatele. Další podrobnosti o uživateli, které se načtou, jsou založené na uživatelích definovaných v senzoru.

Další informace naleznete v tématu:

Místní skupiny globálního přístupu

Velké organizace mají často komplexní model uživatelských oprávnění založený na globálních organizačních strukturách. Pokud chcete spravovat místní uživatele Defenderu for IoT, použijte globální obchodní topologii, která je založená na organizačních jednotkách, oblastech a webech, a pak definujte uživatelská přístupová oprávnění k těmto entitám.

Vytvořte skupiny přístupu uživatelů pro vytvoření globálního řízení přístupu napříč místními prostředky Defenderu for IoT. Každá přístupová skupina obsahuje pravidla o uživatelích, kteří mají přístup ke konkrétním entitám ve vaší obchodní topologii, včetně obchodních jednotek, oblastí a webů.

Následující diagram například ukazuje, jak můžete povolit bezpečnostním analytikům ze skupiny Active Directory přístup ke všem západoevropským výrobním linkám pro automobilový průmysl a sklo spolu s linkou pro plasty v jedné oblasti:

Diagram skupiny Active Directory analytika zabezpečení

Další informace najdete v tématu Definování oprávnění globálního přístupu pro místní uživatele.

Tip

Přístupové skupiny a pravidla pomáhají implementovat strategie nulové důvěryhodnosti tím, že řídí, kde uživatelé spravují a analyzují zařízení na senzorech Defenderu for IoT a v místní konzole pro správu. Další informace najdete v tématu Získání přehledu o globálních, regionálních a místních hrozbách.

Další kroky

Další informace naleznete v tématu: