你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

与 Azure Active Directory 服务器集成

将传感器或本地管理控制台配置为使用 Active Directory。 这允许 Active Directory 用户使用其 Active Directory 凭据访问 Microsoft Defender for IoT 控制台。

注意

LDAP v3 受支持。

支持两种基于 LDAP 的身份验证:

  • 完全身份验证:从 LDAP 服务器检索用户详细信息。 例如名字、姓氏、电子邮件和用户权限。

  • 受信任的用户:仅检索用户密码。 检索到的其他用户详细信息基于传感器中定义的用户。

有关详细信息,请参阅网络要求

Active Directory 和 Defender for IoT 权限

你可以将此处定义的 Active Directory 组与特定权限级别关联。 例如,配置特定的 Active Directory 组并将只读权限分配给组中的所有用户。

Azure Active Directory 配置指南

  • 必须在此处定义与 Active Directory 中完全相同的 LDAP 参数。
  • 对于所有 Active Directory 参数,请仅使用小写字母。 即使 Active Directory 中的配置使用大写,也请使用小写。
  • 不能为同一域同时配置 LDAP 和 LDAP。 但是,你可以同时对不同的域使用这两种方法。

若要配置 Active Directory,请执行以下操作:

  1. 在左窗格中,选择“系统设置”。

  2. 选择“集成”,然后选择 Active Directory。 Screenshot of the Active Directory configuration dialog box.

  3. 启用“启用 Active Directory 集成”切换开关。

  4. 设置 Active Directory 服务器参数,如下所示:

    服务器参数 说明
    域控制器 FQDN 将完全限定域名 (FQDN) 设置为与 LDAP 服务器上显示的完全一致。 例如,输入 host1.subdomain.domain.com
    域控制器端口 定义配置 LDAP 的端口。
    主域 根据 LDAP 配置设置域名(例如,subdomain.domain.com)和连接类型。
    Active Directory 组 输入在 LDAP 服务器上的 Active Directory 配置中定义的组名。 可以输入要与管理员、安全分析师和只读权限级别相关联的组名。 创建新的传感器用户时,请使用这些组。
    受信任的域 若要添加受信任的域,请添加受信任的域的域名和连接类型。
    只能为在“用户”下定义的用户配置受信任的域。

    用于本地管理控制台的 Azure Active Directory 组

    如果要为本地管理控制台用户创建 Active Directory 组,则必须为每个 Active Directory 组创建访问组规则。 如果 Azure Active Directory 用户组不存在“访问组”规则,则本地管理控制台 Azure Active Directory 凭据将不起作用。 有关详细信息,请参阅定义全局访问控制

  5. 选择“保存”。

  6. 若要添加受信任的服务器,请选择“添加服务器”,然后配置另一个服务器。

后续步骤

有关详细信息,请参阅如何创建和使用用户