Gerenciamento de usuário do Microsoft Defender para IoT

O Microsoft Defender para IoT fornece ferramentas no portal do Azure e no local para gerenciar o acesso do usuário em recursos do Defender para IoT.

Usuários do Azure para o Defender para IoT

No portal do Azure, os usuários são gerenciados no nível da assinatura com o Microsoft Entra ID e o RBAC (controle de acesso baseado em função) do Azure. Os usuários da assinatura do Azure podem ter uma ou mais funções de usuário, que determinam os dados e as ações que podem ser acessados do portal do Azure, inclusive no Defender para IoT.

Use o portal ou o PowerShell para atribuir aos usuários de sua assinatura do Azure as funções específicas necessárias para exibir dados e tomar medidas, como, por exemplo, se eles estarão exibindo dados de alerta ou do dispositivo ou gerenciando planos de preços e sensores.

Para obter mais informações, consulte Gerenciar usuários no portal do Azure e Funções de usuário do Azure para monitoramento de OT e Enterprise IoT

Usuários locais para o Defender para IoT

Ao trabalhar com redes OT, os serviços e dados do Defender para IoT também estão disponíveis em sensores de rede OT locais e no console de gerenciamento de sensores locais, além do portal do Azure.

Você precisará definir usuários locais em seus sensores de rede OT e no console de gerenciamento local, além do Azure. Os sensores de OT e o console de gerenciamento local são instalados com um conjunto de usuários padrão e privilegiados, que você pode usar para definir outros administradores e usuários.

Entre nos sensores de OT para definir usuários dos sensores e entre no console de gerenciamento local para definir usuários do console de gerenciamento local.

Para obter mais informações, confira Usuários locais e funções para monitoramento de OT com o Defender para IoT.

Suporte à ID do Microsoft Entra em sensores e consoles de gerenciamento locais

Talvez você queira configurar uma integração entre o sensor e o Microsoft Entra ID para permitir que os usuários do Microsoft Entra ID entrem no sensor ou usem grupos do Microsoft Entra ID, com permissões coletivas atribuídas a todos os usuários do grupo.

Por exemplo, use o Microsoft Entra ID quando tiver um grande número de usuários aos quais deseja atribuir o acesso Somente Leitura e quiser gerenciar essas permissões no nível do grupo.

A integração do Defender para IoT ao Microsoft Entra ID dá suporte ao LDAP v3 e aos seguintes tipos de autenticação baseada em LDAP:

• Autenticação completa: os detalhes do usuário são recuperados do servidor LDAP. Os exemplos são nome, sobrenome, email e permissões de usuário.

• Usuário confiável: somente a senha do usuário é recuperada. Outros detalhes do usuário recuperados são baseados em usuários definidos no sensor.

Para obter mais informações, consulte:

• Configurar uma conexão do Active Directory
• Regras de firewall adicionais para serviços externos (opcional).

Logon único para logon no console do sensor

Você pode configurar o logon único (SSO) para o console de sensor do Defender para IoT usando o Microsoft Entra ID. Com o SSO, os usuários da sua organização podem simplesmente entrar no console do sensor e não precisam de várias credenciais de logon em diferentes sensores e sites. Para obter mais informações, confira Configurar o logon único para o console do sensor.

Grupos de acesso global local

As grandes organizações geralmente têm um modelo complexo de permissões de usuário com base em estruturas organizacionais globais. Para gerenciar seus usuários locais do Defender para IoT, use uma topologia de negócios global baseada em unidades de negócios, regiões e sites e defina as permissões de acesso do usuário em torno dessas entidades.

Crie grupos de acesso do usuário para estabelecer o controle de acesso global entre recursos locais do Defender para IoT. Cada grupo de acesso inclui regras sobre os usuários que podem acessar entidades específicas em sua topologia de negócios, incluindo unidades de negócios, regiões e sites.

Por exemplo, o diagrama a seguir mostra como você pode permitir que analistas de segurança de um grupo do Active Directory acessem todas as linhas de produção de automóveis e de vidros da Europa Ocidental, juntamente com uma linha de plástico em uma região:

Para obter mais informações, confira Definir a permissão de acesso global para usuários locais.

Dica

Grupos de acesso e regras ajudam a implementar estratégias de Confiança Zero controlando onde os usuários gerenciam e analisam dispositivos em sensores do Defender para IoT e no console de gerenciamento local. Para obter mais informações, confira Confiança Zero e suas redes OT/IoT.

Próximas etapas

• Gerenciar usuários de assinatura do Azure
• Criar e gerenciar usuários em um sensor de rede OT
• Criar e gerenciar usuários em um console de gerenciamento local

Para obter mais informações, consulte:

• Funções e permissões de usuário do Azure para Defender para IoT
• Usuários e funções locais para monitoramento de OT com o Defender para IoT