Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Une application IoT Central vous permet de surveiller et de gérer vos appareils, ce qui vous permet d’évaluer rapidement votre scénario IoT. Ce guide est destiné aux administrateurs qui gèrent la sécurité dans les applications IoT Central.
Dans IoT Central, vous pouvez configurer et gérer la sécurité dans les domaines suivants :
- Accès utilisateur à votre application.
- Accès de l’appareil à votre application.
- Accès programmatique à votre application.
- Authentification auprès d’autres services à partir de votre application.
- Utilisez un réseau virtuel sécurisé.
- Les journaux d’audit suivent l’activité dans l’application.
Gérer l’accès des utilisateurs
Chaque utilisateur doit disposer d’un compte d’utilisateur pour pouvoir se connecter et accéder à une application IoT Central. IoT Central prend actuellement en charge les comptes Microsoft et les comptes Microsoft Entra, mais pas les groupes Microsoft Entra.
Les rôles vous permettent de contrôler qui au sein de votre organisation est autorisé à effectuer différentes tâches dans IoT Central. Chaque rôle dispose d’un ensemble spécifique d’autorisations qui déterminent ce qu’un utilisateur dans le rôle peut voir et faire dans l’application. Il existe trois rôles intégrés que vous pouvez attribuer aux utilisateurs de votre application. Vous pouvez également créer des rôles personnalisés avec des autorisations spécifiques si vous avez besoin d’un contrôle plus précis.
Les organisations vous permettent de définir une hiérarchie que vous utilisez pour gérer les utilisateurs qui peuvent voir quels appareils dans votre application IoT Central. Le rôle de l’utilisateur détermine ses autorisations sur les appareils qu’il voit et les expériences auxquelles il peut accéder. Utilisez des organisations pour implémenter une application mutualisée.
Pour en savoir plus, consultez :
- Gérer les utilisateurs et les rôles dans votre application IoT Central
- Gérer les organisations IoT Central
- Comment utiliser l’API REST IoT Central pour gérer les utilisateurs et les rôles
- Comment utiliser l’API REST IoT Central pour gérer les organisations
Gérer l’accès aux appareils
Les appareils s’authentifient auprès de l’application IoT Central à l’aide d’un jeton de signature d’accès partagé (SAP) ou d’un certificat X.509. Les certificats X.509 sont recommandés dans les environnements de production.
Dans IoT Central, vous utilisez des groupes de connexions d’appareils pour gérer les options d’authentification des appareils dans votre application IoT Central.
Pour en savoir plus, consultez :
- Concepts d’authentification des appareils dans IoT Central
- Comment connecter des appareils avec des certificats X.509 à l’application IoT Central
Contrôles réseau pour l’accès aux appareils
Par défaut, les appareils se connectent à IoT Central via l’Internet public. Pour plus de sécurité, connectez vos appareils à votre application IoT Central à l’aide d’un point de terminaison privé dans un réseau virtuel Azure.
Les points de terminaison privés utilisent des adresses IP privées à partir d’un espace d’adressage de réseau virtuel pour connecter vos appareils en privé à votre application IoT Central. Le trafic réseau entre les appareils sur le réseau virtuel et la plateforme IoT traverse le réseau virtuel et une liaison privée sur le réseau principal Microsoft, éliminant ainsi l’exposition sur l’Internet public.
Pour plus d’informations, consultez Sécurité réseau pour IoT Central à l’aide de points de terminaison privés.
Gérer l’accès par programmation
L’API REST IoT Central vous permet de développer des applications clientes qui s’intègrent aux applications IoT Central. Utilisez l’API REST pour travailler avec des ressources dans votre application IoT Central, comme des modèles d’appareil, des appareils, des travaux, des utilisateurs et des rôles.
Chaque appel d’API REST IoT Central nécessite un en-tête d’autorisation que IoT Central utilise pour déterminer l’identité de l’appelant et les autorisations accordées à l’appelant dans l’application.
Pour accéder à une application IoT Central à l’aide de l’API REST, vous pouvez utiliser :
- Jeton du porteur Microsoft Entra. Un jeton de porteur est associé à un compte d’utilisateur Microsoft Entra ou à une entité de service. Le jeton accorde à l’appelant les mêmes autorisations que l’utilisateur ou le principal du service dans l’application IoT Central.
- Jeton d’API IoT Central. Un jeton d’API est associé à un rôle dans votre application IoT Central.
Pour plus d’informations, consultez Comment authentifier et autoriser les appels d’API REST IoT Central.
S’authentifier auprès d’autres services
Lorsque vous configurez une exportation continue de données à partir de votre application IoT Central vers stockage Blob Azure, Azure Service Bus ou Azure Event Hubs, vous pouvez utiliser une chaîne de connexion ou une identité managée pour vous authentifier. Lorsque vous configurez une exportation continue de données depuis votre application IoT Central vers Azure Data Explorer, vous pouvez utiliser un principal de service ou une identité managée pour vous authentifier.
Les identités managées sont plus sécurisées, car :
- Vous ne stockez pas les informations d’identification de votre ressource dans une chaîne de connexion dans votre application IoT Central.
- Les informations d’identification sont automatiquement liées à la durée de vie de votre application IoT Central.
- Les identités managées pivotent automatiquement leurs clés de sécurité régulièrement.
Pour en savoir plus, consultez :
Se connecter à une destination sur un réseau virtuel sécurisé
L'exportation de données dans IoT Central vous permet de transférer en continu les données des appareils vers des destinations telles que Azure Blob Storage, Azure Event Hubs et Azure Service Bus Messaging. Vous pouvez choisir de verrouiller ces destinations à l’aide d’un réseau virtuel Azure et de points de terminaison privés. Pour permettre à IoT Central de se connecter à une destination sur un réseau virtuel sécurisé, configurez une exception de pare-feu. Pour plus d’informations, consultez Exporter des données vers une destination sécurisée sur un réseau virtuel Azure.
Journaux d’audit
Les journaux d’audit permettent aux administrateurs de suivre l’activité au sein de votre application IoT Central. Les administrateurs peuvent voir qui a apporté les modifications à ce moment-ci. Pour plus d’informations, consultez Utiliser les journaux d’audit pour suivre l’activité dans votre application IoT Central.
Étapes suivantes
Maintenant que vous avez découvert la sécurité dans votre application Azure IoT Central, l’étape suivante suggérée consiste à découvrir comment gérer les utilisateurs et les rôles dans votre application IoT Central.