Microsoft Defender for IoT 사용자 관리

Microsoft Defender for IoT는 Defender for IoT 리소스에서 사용자 액세스를 관리하기 위한 Azure Portal 및 온-프레미스 모두에 도구를 제공합니다.

Defender for IoT용 Azure 사용자

Azure Portal에서 사용자는 Microsoft Entra ID 및 Azure RBAC(역할 기반 액세스 제어)를 사용하여 구독 수준에서 관리됩니다. Azure 구독 사용자는 Defender for IoT를 포함하여 Azure Portal에 액세스할 수 있는 데이터 및 작업을 결정하는 하나 이상의 사용자 역할을 가질 수 있습니다.

포털 또는 PowerShell을 사용하여 Azure 구독 사용자에게 경고 또는 디바이스 데이터를 보는지, 가격 플랜 및 센서를 관리하는지 여부와 같이 데이터를 보고 조치를 취하는 데 필요한 특정 역할을 할당합니다.

자세한 내용은 Azure Portal에서 사용자 관리 및 OT 및 Enterprise IoT 모니터링을 위한 Azure 사용자 역할을 참조하세요.

Defender for IoT의 온-프레미스 사용자

OT 네트워크를 사용하는 경우 Azure Portal 외에도 온-프레미스 OT 네트워크 센서 및 온-프레미스 센서 관리 콘솔에서 Defender for IoT 서비스 및 데이터를 사용할 수 있습니다.

Azure 외에도 OT 네트워크 센서와 온-프레미스 관리 콘솔 모두의 온-프레미스 사용자를 정의해야 합니다. OT 센서와 온-프레미스 관리 콘솔 모두 다른 관리자 및 사용자를 정의하는 데 사용할 수 있는 기본 권한 있는 사용자 집합과 함께 설치됩니다.

OT 센서에 로그인하여 센서 사용자를 정의하고 온-프레미스 관리 콘솔에 로그인하여 온-프레미스 관리 콘솔 사용자를 정의합니다.

자세한 내용은 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.

센서 및 온-프레미스 관리 콘솔에 대한 Microsoft Entra ID 지원

Microsoft Entra ID 사용자가 센서에 로그인하거나 그룹의 모든 사용자에게 집합적 권한이 할당된 Microsoft Entra ID 그룹을 사용할 수 있도록 센서와 Microsoft Entra ID 간의 통합을 구성할 수 있습니다.

예를 들어, 읽기 전용 액세스 권한을 할당하려는 사용자가 많고 해당 권한을 그룹 수준에서 관리하려는 경우 Microsoft Entra ID를 사용합니다.

Defender for IoT와 Microsoft Entra ID의 통합은 LDAP v3 및 다음 형식의 LDAP 기반 인증을 지원합니다.

• 전체 인증: LDAP 서버에서 사용자 세부 정보를 검색합니다. 예를 들면 이름, 성, 메일, 사용자 권한이 있습니다.

• 신뢰할 수 있는 사용자: 사용자 암호만 검색됩니다. 검색되는 다른 사용자 세부 정보는 센서에 정의된 사용자를 기반으로 합니다.

자세한 내용은 다음을 참조하세요.

• Active Directory 연결 구성
• 외부 서비스에 대한 기타 방화벽 규칙(선택 사항).

센서 콘솔에 로그인하기 위한 Single Sign-On

Microsoft Entra ID를 사용하여 Defender for IoT 센서 콘솔에 대해 SSO(Single Sign-On)를 설정할 수 있습니다. SSO를 사용하면 조직의 사용자가 센서 콘솔에 간단히 로그인할 수 있으며 다양한 센서와 사이트에 걸쳐 여러 로그인 자격 증명이 필요하지 않습니다. 자세한 내용은 센서 콘솔에 대한 SSO(Single Sign-On) 설정을 참조하세요.

온-프레미스 전역 액세스 그룹

대규모 조직에는 전역 조직 구조를 기반으로 하는 복잡한 사용자 권한 모델이 있는 경우가 많습니다. 온-프레미스 Defender for IoT 사용자를 관리하려면 사업부, 지역 및 사이트를 기반으로 하는 글로벌 비즈니스 토폴로지를 사용한 다음 해당 엔터티에 대한 사용자 액세스 권한을 정의합니다.

사용자 액세스 그룹을 만들어 Defender for IoT 온-프레미스 리소스에서 전역 액세스 제어를 설정합니다. 각 액세스 그룹에는 사업부, 지역 및 사이트를 포함하여 비즈니스 토폴로지의 특정 엔터티에 액세스할 수 있는 사용자에 대한 규칙이 포함됩니다.

예를 들어 한 Active Directory 그룹의 보안 분석가가 모든 서유럽 자동차 및 유리 제작 라인에 액세스하고, 한 지역의 플라스틱 라인에 액세스하도록 허용할 수 있습니다.

자세한 내용은 온-프레미스 사용자에 대한 전역 액세스 권한 정의를 참조하세요.

팁

액세스 그룹 및 규칙은 사용자가 Defender for IoT 센서 및 온-프레미스 관리 콘솔의 디바이스를 관리하고 분석하는 위치를 제어하여 제로 트러스트 전략을 구현하는 데 도움이 됩니다. 자세한 내용은 제로 트러스트 및 OT/IoT 네트워크를 참조하세요.

다음 단계

• Azure 구독 사용자 관리
• OT 네트워크 센서에서 사용자 만들기 및 관리
• 온-프레미스 관리 콘솔 사용자 만들기 및 관리

자세한 내용은 다음을 참조하세요.

• Defender for IoT에 대한 Azure 사용자 역할 및 권한
• Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할