Verwalten des Zugriffs über öffentliche Netzwerke für Ihren IoT-Hub

  • Artikel

Wichtig

Durch das Deaktivieren des öffentlichen Netzwerkzugriffs wird verhindert, dass Sie Device Update for IoT Hub verwenden.

Wenn Sie den Zugriff auf nur einen privaten Endpunkt für einen IoT-Hub in Ihrem VNet einschränken möchten, deaktivieren Sie den Zugriff über öffentliche Netzwerke. Verwenden Sie hierzu das Azure-Portal oder die publicNetworkAccess-API. Sie können den öffentlichen Zugriff auch über das Portal oder die publicNetworkAccess-API zulassen.

Deaktivieren des Zugriffs über öffentliche Netzwerke im Azure-Portal

  1. Navigieren Sie zum Azure-Portal.
  2. Navigieren Sie zu Ihrem IoT Hub. Wechseln Sie zu Ressourcengruppen, und wählen Sie die entsprechende Gruppe und dann Ihren IoT-Hub aus.
  3. Wählen Sie im linken Menü die Option Netzwerk aus.
  4. Wählen Sie unter „Zugriff über öffentliche Netzwerke zulassen auf“ die Option Deaktiviert aus.
  5. Wählen Sie Speichern aus.

Screenshot des Navigationspfads im Azure-Portal zum Deaktivieren des Zugriffs über öffentliche Netzwerke

Wenn Sie den Zugriff über öffentliche Netzwerke aktivieren möchten, wählen Sie Alle Netzwerke und dann Speichern aus.

Zugreifen auf den IoT Hub nach Deaktivierung des Zugriffs auf das öffentliche Netzwerk

Nachdem der Zugriff auf das öffentliche Netzwerk deaktiviert wurde, ist der IoT Hub nur über den privaten VNet-Endpunkt über Azure Private Link zu erreichen. Diese Einschränkung schließt den Zugriff über das Azure-Portal mit ein, weil API-Aufrufe an den IoT Hub-Dienst direkt über Ihren Browser mit Ihren Anmeldeinformationen erfolgen.

IoT Hub-Endpunkt, IP-Adresse und Ports nach Deaktivierung des Zugriffs auf öffentliche Netzwerke

Weil IoT Hub ist eine mehrinstanzenfähige Platform-as-a-Service-Instanz (PaaS) ist, können verschiedene Kunden denselben Pool an Compute-, Netzwerk- und Speicherhardwareressourcen gemeinsam nutzen. IoT Hub-Hostnamen werden einem öffentlichen Endpunkt mit einer öffentlich routingfähigen IP-Adresse über das Internet zugeordnet. Dieser öffentliche IoT Hub-Endpunkt wird von verschiedenen Kunden gemeinsam genutzt, und alle IoT-Geräte in WANs und lokalen Netzwerken können darauf zugreifen.

Die Deaktivierung des Zugriffs auf öffentliche Netzwerke wird für eine bestimmte IoT Hub-Ressource erzwungen und so die Isolation sichergestellt. Um den Dienst für andere Kundenressourcen über den öffentlichen Pfad aktiv zu halten, bleibt der öffentliche Endpunkt auflösbar, IP-Adressen bleiben erkennbar, und die Ports bleiben offen. Dies ist kein Problem, da Microsoft mehrere Sicherheitsebenen integriert, um eine vollständige Isolation zwischen Mandanten sicherzustellen. Weitere Informationen hierzu finden Sie unter Isolation in der öffentlichen Azure-Cloud.

IP-Filter

Wenn der Zugriff über öffentliche Netzwerke deaktiviert ist, werden alle IP-Filterregeln ignoriert. Der Grund dafür ist, dass alle IP-Adressen aus dem öffentlichen Internet blockiert werden. Wenn Sie IP-Filter nutzen möchten, verwenden Sie die Option Ausgewählte IP-Adressbereiche.

Fehlerbehebung beim integrierten Event Hubs-kompatiblen Endpunkt

Es gibt einen IoT Hub-Fehler, bei dem der Zugriff auf den integrierten Event Hubs-kompatiblen Endpunkt über das öffentliche Internet weiterhin möglich ist, wenn der Zugriff über öffentliche Netzwerke auf den IoT-Hub deaktiviert wurde. Wenn Sie mehr über diesen Fehler erfahren und uns diesbezüglich kontaktieren möchten, lesen Sie Durch das Deaktivieren des öffentlichen Netzwerkzugriffs für IoT Hub wird der Zugriff auf den integrierten Event Hubs-Endpunkt deaktiviert.

Aktivieren des Netzwerkzugriffs über das Azure-Portal

  1. Wechseln Sie zum Azure-Portal.
  2. Navigieren Sie zu Ihrem IoT Hub. Wechseln Sie zu Ressourcengruppen, und wählen Sie die entsprechende Gruppe und dann Ihren Hub aus.
  3. Wählen Sie im linken Menü die Option Netzwerk aus.
  4. Wählen Sie unter „Zugriff über öffentliche Netzwerke zulassen auf“ die Option Ausgewählte IP-Adressbereiche aus.
  5. Wählen Sie im daraufhin geöffneten Dialogfeld IP-Filter die Option Client-IP-Adresse hinzufügen aus, und geben Sie einen Namen und einen Adressbereich ein.
  6. Wählen Sie Speichern aus. Wenn die Schaltfläche abgeblendet ist, stellen Sie sicher, dass Ihre Client-IP-Adresse bereits als IP-Filter hinzugefügt wurde.

Screenshot des Navigationspfads im Azure-Portal zum Aktivieren des Zugriffs über öffentliche Netzwerke

Aktivieren aller Netzwerkbereiche

  1. Navigieren Sie zu Ihrem IoT Hub. Wechseln Sie zu Ressourcengruppen, und wählen Sie die entsprechende Gruppe und dann Ihren Hub aus.
  2. Wählen Sie im linken Menü die Option Netzwerk aus.
  3. Wählen Sie unter „Zugriff über öffentliche Netzwerke zulassen auf“ die Option Alle Netzwerke aus.
  4. Wählen Sie Speichern aus.

Überprüfen des IoT Hub-Zugriffs mit Cloud Shell

Sie können den IoT Hub-Zugriff mithilfe von Azure Cloud Shell überprüfen. Stellen Sie sicher, dass Sie alle Netzwerkbereiche aktiviert haben, und führen Sie dann die folgenden Befehle aus. Ersetzen Sie „SubscriptionName“ durch den Namen Ihres Abonnements und „MyIoTHub“ durch den Namen Ihres Hubs.

  az account set -s "SubscriptionName"
  az iot hub device-identity list --hub-name "MyIoTHub"

  Set-AzContext -Name "SubscriptionName"
  Get-AzIoTHubDevice -IotHubName "MyIoTHub"

Problembehandlung

Wenn Sie Probleme mit dem Zugriff auf Ihren IoT-Hub haben, ist möglicherweise Ihre Netzwerkkonfiguration die Ursache. Wenn beispielsweise beim Versuch, auf die IoT-Geräteseite zuzugreifen, die folgende Fehlermeldung angezeigt wird, überprüfen Sie auf der Seite Netzwerk, ob der Zugriff über öffentliche Netzwerk deaktiviert oder auf ausgewählte IP-Adressbereiche beschränkt ist.

  Unable to retrieve devices. Please ensure that your network connection is online and network settings allow connections from your IP address.

Wenn Sie versuchen, mit anderen Tools wie dem Azure CLI auf Ihren IoT Hub zu zugreifen, enthält die Fehlermeldung möglicherweise {"errorCode": 401002, "message": "Unauthorized"}, wenn die Anforderung nicht ordnungsgemäß zu Ihrem IoT Hub geroutet wird.

Um Zugriff auf den IoT-Hub zu erhalten, bitten Sie Ihren IT-Administrator, Ihre IP-Adresse dem IP-Adressbereich hinzuzufügen oder den Zugriff auf alle Netzwerke aus öffentlichen Netzwerken zu ermöglichen. Wenn das Problem dadurch nicht behoben werden kann, überprüfen Sie die Einstellungen Ihres lokalen Netzwerks, oder wenden Sie sich an Ihren lokalen Netzwerkadministrator, um die Konnektivität mit dem IoT-Hub wiederherzustellen. Manchmal kann beispielsweise ein Proxy im lokalen Netzwerk den Zugriff auf IoT Hub beeinträchtigen.

Wenn die obigen Befehle nicht funktionieren oder Sie nicht alle Netzwerkbereiche aktivieren können, wenden Sie sich an den Microsoft-Support.