Einrichten des einmaligen Anmeldens für die Sensorkonsole

In diesem Artikel erfahren Sie, wie Sie einmaliges Anmelden (SSO) für die Defender for IoT-Sensorkonsole mittels Microsoft Entra ID einrichten. Mit SSO können sich die Benutzer Ihrer Organisation einfach bei der Sensorkonsole anmelden und benötigen nicht mehrere Anmeldeinformationen für verschiedene Sensoren und Websites.

Die Verwendung von Microsoft Entra ID vereinfacht die Onboarding- und Offboarding-Prozesse, reduziert den Verwaltungsaufwand und sorgt für konsistente Zugriffssteuerungen in der gesamten Organisation.

Hinweis

Die Anmeldung über SSO befindet sich derzeit in der VORSCHAU. Die ergänzenden Bestimmungen für Azure-Vorschauen enthalten zusätzliche rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden bzw. anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen

Vorbereitungen

• Synchronisieren des lokalen Active Directory mit Microsoft Entra ID.
• Fügen Sie Ihrer Firewall, Ihrem Proxyserver usw. ausgehende Zulassungsregeln hinzu. Sie können auf die Liste der erforderlichen Endpunkte über die Seite „Websites und Sensoren“ zugreifen.
• Wenn Sie keine bestehenden Microsoft Entra ID-Benutzergruppen haben, die Sie für die SSO-Autorisierung verwenden können, arbeiten Sie mit dem Identitätsmanager Ihrer Organisation zusammen, um entsprechende Benutzergruppen zu erstellen.
• Stellen Sie sicher, dass Sie über die folgenden Berechtigungen verfügen:
  • Ein „Mitglied“-Benutzer in Microsoft Entra ID.
  • Berechtigungen als Administrator, Mitwirkender oder Sicherheitsadministrator für das Defender for IoT-Abonnement.
• Stellen Sie sicher, dass jeder Benutzer über einen Vornamen, Nachnamen und Benutzerprinzipalnamen verfügt.
• Richten Sie bei Bedarf die Multi-Faktor-Authentifizierung (MFA) ein.

Erstellen der Anwendungs-ID in Microsoft Entra ID

​

1. Öffnen Sie im Azure-Portal Microsoft Entra ID.

2. Wählen Sie Hinzufügen > App-Registrierung aus.

   

3. Gehen Sie auf der Seite Registrieren einer Anwendung folgendermaßen vor:

   • Geben Sie unter Name einen Namen für Ihre Anwendung ein.
   • Klicken Sie unter Unterstützte Kontotypen auf Nur Konten in diesem Organisationsverzeichnis (nur Microsoft – einzelner Mandant).
   • Fügen Sie unter Umleitungs-URI eine IP oder einen Hostnamen für den ersten Sensor hinzu, auf dem Sie SSO aktivieren möchten. Im nächsten Schritt Hinzufügen Ihrer Sensor-URIs fügen Sie weitere URIs für die anderen Sensoren hinzu.

   Hinweis

   Das Hinzufügen des URI in dieser Phase ist erforderlich, damit SSO funktioniert.

   

4. Wählen Sie Registrieren aus. Microsoft Entra ID zeigt Ihre neu registrierte Anwendung an.

Hinzufügen Ihrer Sensor-URIs

​

1. Wählen Sie in Ihrer neuen Anwendung die Option Authentifizierung.

2. Unter Umleitungs-URIs wird der URI für den ersten Sensor, der im vorherigen Schritt hinzugefügt wurde, unter Umleitungs-URIs angezeigt. So fügen Sie die restlichen URIs hinzu:

   1. Wählen Sie URI hinzufügen aus, um eine weitere Zeile hinzuzufügen, und geben Sie eine IP-Adresse oder einen Hostnamen ein.

   2. Wiederholen Sie diesen Schritt für den Rest der verbundenen Sensoren.

      Wenn Microsoft Entra ID die URIs erfolgreich hinzufügt, wird die Meldung „Ihr Umleitungs-URI ist für den Autorisierungscodefluss mit PKCE berechtigt“ angezeigt.

      

3. Wählen Sie Speichern.

Gewähren des Zugriffs auf die Anwendung

1. Wählen Sie in Ihrer neuen Anwendung API-Berechtigungen.

2. Wählen Sie neben Berechtigung hinzufügen die Option Administratorzustimmung erteilen für <Verzeichnisname> aus.

   

Erstellen einer SSO-Konfiguration

1. Wählen Sie in Defender for IoT im Azure-Portal die Option Standorte und Sensoren>Sensoreinstellungen aus.

2. Wählen Sie auf der Seite Sensoreinstellungen die Option + Hinzufügen aus. Auf der Registerkarte Grundlagen:

   1. Wählen Sie Ihr Abonnement aus.

   2. Wählen Sie neben Typ die Option Einmaliges Anmelden aus.

   3. Geben Sie neben Name einen Namen für die relevante Website ein, und wählen Sie Weiter aus.

      

3. Auf der Registerkarte Einstellungen:

   1. Wählen Sie neben Anwendungsname die ID der Anwendung, die Sie in Microsoft Entra ID erstellt haben.

   2. Weisen Sie unter Berechtigungsverwaltung den Administrator, den Sicherheitsanalysten und Schreibgeschützt-Berechtigungen für relevante Benutzergruppen zu. Sie können mehrere Benutzernamen auswählen.

      

   3. Wählen Sie Weiter aus.

   Hinweis

   Stellen Sie sicher, dass Sie auf Ihrer Firewall/Proxy Zulassungsregeln für die angegebenen Endpunkte hinzugefügt haben. Sie können auf die Liste der erforderlichen Endpunkte über die Seite „Websites und Sensoren“ zugreifen.

4. Wählen Sie auf der Registerkarte Übernehmen die relevanten Websites aus.

   

   Optional können Sie die Option Auswahl nach bestimmten Zonen/Sensoren hinzufügen umschalten, um Ihre Einstellung auf bestimmte Zonen und Sensoren anzuwenden.​

5. Wählen Sie Weiter aus, überprüfen Sie Ihre Konfiguration, und wählen Sie Erstellen aus.

Anmelden mit SSO

So testen Sie die Anmeldung mit SSO: ​

1. Öffnen Sie Defender for IoT im Azure-Portal, und wählen Sie SSO-Anmeldung aus.

   

2. Geben Sie für die erste Anmeldung auf der Seite Anmelden Ihre persönlichen Anmeldeinformationen (Ihre geschäftliche E-Mail-Adresse und Ihr Kennwort) ein.

   

Die Defender for IoT-Seite Übersicht wird angezeigt. ​ ​

Nächste Schritte

Weitere Informationen finden Sie unter

• Azure-Benutzerrollen für OT- und Enterprise IoT-Überwachung mit Defender for IoT
• Erstellen und Verwalten lokaler Benutzer für die OT-Überwachung
• Lokale Benutzer und Rollen für die OT-Überwachung mit Defender for IoT