IoT Central セキュリティ ガイド

IoT Central アプリケーションを使用すると、デバイスを監視および管理でき、IoT シナリオをすばやく評価できます。 このガイドは、IoT Central アプリケーションでセキュリティを管理する管理者を対象としています。

IoT Central では、次の領域でセキュリティを構成および管理できます。

• アプリケーションへのユーザー アクセス。
• アプリケーションへのデバイス アクセス。
• アプリケーションへのプログラムによるアクセス。
• アプリケーションから他のサービスに対する認証。
• セキュリティで保護された仮想ネットワークを使用します。
• 監査ログは、アプリケーションのアクティビティを追跡します。

ユーザー アクセスを管理する

ユーザーが IoT Central アプリケーションにサインインしてアクセスするには、ユーザー アカウントが必要です。 現在、IoT Central は Microsoft アカウントと Microsoft Entra アカウントをサポートしていますが、Microsoft Entra グループはサポートしていません。

"ロール" を使うと、組織内のだれが IoT Central でさまざまなタスクを実行できるかを制御できます。 各ロールには、ロール内のユーザーがアプリケーションで表示、実行できる対象を決定する特定のアクセス許可のセットがあります。 アプリケーションのユーザーに割り当てることができる組み込みロールが 3 つあります。 また、より詳細な制御が必要な場合は、特定のアクセス許可を持つカスタム ロールを作成することもできます。

"組織" では、IoT Central アプリケーション内でどのユーザーがどのデバイスを表示できるかを管理するために使用する階層を定義できます。 ユーザーのロールによって、表示されるデバイスに対するアクセス許可と、ユーザーがアクセスできるエクスペリエンスが決まります。 組織を利用してマルチテナント型のアプリケーションを実装します。

詳細については、以下をご覧ください。

• IoT Central アプリケーションでユーザーとロールを管理する
• IoT Central 組織を管理する
• IoT Central REST API を使用してユーザーとロールを管理する方法
• IoT Central REST API を使用して組織を管理する方法

デバイスのアクセスを管理する

IoT Central アプリケーションでのデバイスの認証には、"Shared Access Signature (SAS) トークン" または "X.509 証明書" を使用します。 運用環境では、X.509 証明書はお勧めしません。

IoT Central では、"デバイス接続グループ" を使って、IoT Central アプリケーションでのデバイス認証オプションを管理します。

詳細については、以下をご覧ください。

• IoT Central のデバイス認証の概念
• X.509 証明書を使用するデバイスを IoT Central アプリケーションに接続する方法

デバイス アクセスのネットワーク制御

既定では、デバイスはパブリック インターネット経由で IoT Central に接続します。 よりセキュリティを高めるには、Azure Virtual Network の "プライベート エンドポイント" を使って、デバイスを IoT Central アプリケーションに接続します。

プライベート エンドポイントでは、仮想ネットワーク アドレス空間のプライベート IP アドレスを使用して、デバイスを IoT Central アプリケーションにプライベートに接続します。 仮想ネットワーク上のデバイスと IoT プラットフォーム間のネットワーク トラフィックでは、仮想ネットワークおよび Microsoft バックボーン ネットワーク上のプライベート リンクを経由することで、パブリック インターネットでさらされないようにします。

詳細については、「プライベート エンドポイントを使用する IoT Central のネットワーク セキュリティ」を参照してください。

プログラムによるアクセスを管理する

IoT Central REST API を使用して、IoT Central アプリケーションと統合するクライアント アプリケーションを開発できます。 デバイス テンプレート、デバイス、ジョブ、ユーザー、ロールなどの IoT Central アプリケーションのリソースを操作するには、REST API を使用します。

すべての IoT Central REST API 呼び出しには、IoT Central が呼び出し元の ID と、アプリケーション内で呼び出し元に付与されるアクセス許可を決定するために使用する Authorization ヘッダーが必要です。

REST API を使用して IoT Central アプリケーションにアクセスするには、次の方法を使用できます。

• Microsoft Entra ベアラー トークン。 ベアラー トークンは、Microsoft Entra ユーザー アカウントまたはサービス プリンシパルに関連付けられています。 このトークンにより、IoT Central アプリケーションでユーザーまたはサービス プリンシパルが持っているのと同じアクセス許可が呼び出し元に付与されます。
• IoT Central API トークン。 API トークンは、IoT Central アプリケーションのロールに関連付けられています。

詳細については、「IoT Central REST API 呼び出しを認証および承認する方法」を参照してください。

他のサービスに対する認証

IoT Central アプリケーションから Azure Blob Storage、Azure Service Bus、または Azure Event Hubs への連続データ エクスポートを構成するとき、接続文字列かマネージド ID のいずれかを使って認証を行うことができます。 IoT Central アプリケーションから Azure Data Explorer への連続データ エクスポートを構成するとき、サービス プリンシパルかマネージド ID のいずれかを使って認証を行うことができます。

セキュリティは、マネージド ID の方が優れています。その理由は次のとおりです。

• IoT Central アプリケーションの接続文字列にリソースの資格情報が格納されません。
• 資格情報は、IoT Central アプリケーションの有効期間に自動的に関連付けられます。
• マネージド ID では、セキュリティ キーの定期的なローテーションが自動的に行われます。

詳細については、以下をご覧ください。

• Blob Storage を使用してクラウドの保存先に IoT データをエクスポートする
• マネージド ID を構成する

セキュリティで保護された仮想ネットワーク上の宛先に接続する

IoT Central のデータ エクスポートを使用することで、Azure Blob Storage、Azure Event Hubs、Azure Service Bus Messaging などの宛先へとデバイス データを継続的にストリーミングできます。 Azure Virtual Network とプライベート エンドポイントを使用して、これらの宛先のロックダウンを選択することもできます。 IoT Central でセキュリティで保護された仮想ネットワーク上の宛先に接続できるようにするには、ファイアウォールの例外を構成します。 詳細については、Azure Virtual Network 上のセキュリティで保護された宛先にデータをエクスポートするを参照してください。

監査ログ

監査ログを使用すると、管理者は IoT Central アプリケーション内のアクティビティを追跡できます。 管理者は、どの時点でどのような変更を加えたかを確認できます。 詳細については、「監査ログを使用して IoT Central アプリケーションのアクティビティを追跡する」を参照してください。

次のステップ

ここまでで、Azure IoT Central アプリケーションのセキュリティについて学習しました。次は、Azure IoT Central でユーザーとロールを管理する方法について学習することをお勧めします。