Säkerhetsguide för IoT Central
Med ett IoT Central-program kan du övervaka och hantera dina enheter så att du snabbt kan utvärdera ditt IoT-scenario. Den här guiden är avsedd för administratörer som hanterar säkerhet i IoT Central-program.
I IoT Central kan du konfigurera och hantera säkerhet inom följande områden:
- Användaråtkomst till ditt program.
- Enhetsåtkomst till ditt program.
- Programmatisk åtkomst till ditt program.
- Autentisering till andra tjänster från ditt program.
- Använd ett säkert virtuellt nätverk.
- Spårningsloggar spårar aktivitet i programmet.
Hantera användaråtkomst
Varje användare måste ha ett användarkonto innan de kan logga in och komma åt ett IoT Central-program. IoT Central stöder för närvarande Microsoft-konton och Microsoft Entra-konton, men inte Microsoft Entra-grupper.
Med roller kan du styra vem i din organisation som får utföra olika uppgifter i IoT Central. Varje roll har en specifik uppsättning behörigheter som avgör vad en användare i rollen kan se och göra i programmet. Det finns tre inbyggda roller som du kan tilldela till användare av ditt program. Du kan också skapa anpassade roller med specifika behörigheter om du behöver mer detaljerad kontroll.
Med organisationer kan du definiera en hierarki som du använder för att hantera vilka användare som kan se vilka enheter i ditt IoT Central-program. Användarens roll avgör deras behörigheter över de enheter de ser och vilka funktioner de kan komma åt. Använd organisationer för att implementera ett program med flera klientorganisationer.
Mer information finns i:
- Hantera användare och roller i ditt IoT Central-program
- Hantera IoT Central-organisationer
- Använda IoT Central REST API till att hantera användare och roller
- Så här använder du IoT Central REST API för att hantera organisationer
Hantera enhetsåtkomst
Enheter autentiserar med IoT Central-programmet med hjälp av antingen en SAS-token (signatur för delad åtkomst) eller ett X.509-certifikat. X.509-certifikat rekommenderas i produktionsmiljöer.
I IoT Central använder du enhetsanslutningsgrupper för att hantera alternativen för enhetsautentisering i ditt IoT Central-program.
Mer information finns i:
- Begrepp för enhetsautentisering i IoT Central
- Ansluta enheter med X.509-certifikat till ett IoT Central-program
Nätverkskontroller för enhetsåtkomst
Som standard ansluter enheter till IoT Central via det offentliga Internet. Om du vill ha mer säkerhet ansluter du dina enheter till ditt IoT Central-program med hjälp av en privat slutpunkt i ett virtuellt Azure-nätverk.
Privata slutpunkter använder privata IP-adresser från ett virtuellt nätverksadressutrymme för att ansluta dina enheter privat till ditt IoT Central-program. Nätverkstrafik mellan enheter i det virtuella nätverket och IoT-plattformen passerar det virtuella nätverket och en privat länk i Microsofts stamnätverk, vilket eliminerar exponeringen på det offentliga Internet.
Mer information finns i Nätverkssäkerhet för IoT Central med privata slutpunkter.
Hantera programmatisk åtkomst
Med REST API för IoT Central kan du utveckla klientprogram som integreras med IoT Central-program. Använd REST-API:et för att arbeta med resurser i ditt IoT Central-program, till exempel enhetsmallar, enheter, jobb, användare och roller.
Varje REST API-anrop i IoT Central kräver ett auktoriseringshuvud som IoT Central använder för att fastställa anroparens identitet och de behörigheter som anroparen beviljas i programmet.
Om du vill komma åt ett IoT Central-program med hjälp av REST-API:et kan du använda en:
- Microsoft Entra-ägartoken. En ägartoken är associerad med antingen ett Microsoft Entra-användarkonto eller ett huvudnamn för tjänsten. Token ger anroparen samma behörigheter som användaren eller tjänstens huvudnamn har i IoT Central-programmet.
- IoT Central API-token. En API-token är associerad med en roll i ditt IoT Central-program.
Mer information finns i Autentisera och auktorisera IoT Central REST API-anrop.
Autentisera till andra tjänster
När du konfigurerar en kontinuerlig dataexport från ditt IoT Central-program till Azure Blob Storage, Azure Service Bus eller Azure Event Hubs kan du använda antingen en anslutningssträng eller en hanterad identitet för att autentisera. När du konfigurerar en kontinuerlig dataexport från ditt IoT Central-program till Azure Data Explorer kan du använda antingen tjänstens huvudnamn eller en hanterad identitet för att autentisera.
Hanterade identiteter är säkrare eftersom:
- Du lagrar inte autentiseringsuppgifterna för resursen i en anslutningssträng i IoT Central-programmet.
- Autentiseringsuppgifterna kopplas automatiskt till livslängden för ditt IoT Central-program.
- Hanterade identiteter roterar automatiskt sina säkerhetsnycklar regelbundet.
Mer information finns i:
Anslut till ett mål i ett säkert virtuellt nätverk
Med dataexport i IoT Central kan du kontinuerligt strömma enhetsdata till mål som Azure Blob Storage, Azure Event Hubs och Azure Service Bus Messaging. Du kan välja att låsa dessa mål med hjälp av ett virtuellt Azure-nätverk och privata slutpunkter. Om du vill aktivera IoT Central för att ansluta till ett mål i ett säkert virtuellt nätverk konfigurerar du ett brandväggsfel. Mer information finns i Exportera data till ett säkert mål i ett virtuellt Azure-nätverk.
Granskningsloggar
Med granskningsloggar kan administratörer spåra aktivitet i ditt IoT Central-program. Administratörer kan se vem som gjorde vilka ändringar vid vilka tidpunkter. Mer information finns i Använda granskningsloggar för att spåra aktivitet i ditt IoT Central-program.
Nästa steg
Nu när du har lärt dig om säkerhet i ditt Azure IoT Central-program är nästa steg att lära dig mer om Hantera användare och roller i Azure IoT Central.