適用於 IoT 的 Microsoft Defender 使用者管理

適用於 IoT 的 Microsoft Defender 同時在 Azure 入口網站和內部部署中提供工具，以跨適用於 IoT 的 Defender 資源管理使用者存取。

適用於 IoT 的 Defender 的 Azure 使用者

在 Azure 入口網站中，會使用 Microsoft Entra ID 和 Azure 角色型存取控制 (RBAC) 在訂用帳戶層級管理使用者。 Azure 訂用帳戶使用者可以擁有一或多個使用者角色，其會決定他們可以從 Azure 入口網站 (包括在適用於 IoT 的 Defender 中) 存取的資料和動作。

使用入口網站或 PowerShell 來指派 Azure 訂用帳戶使用者，使其具備檢視資料並採取動作所需的特定角色，例如要檢視警示或裝置資料，或管理價格方案和感應器。

如需詳細資訊，請參閱在 Azure 入口網站上管理使用者，以及適用於 OT 和企業 IoT 監視的 Azure 使用者角色

適用於 IoT 的 Defender 的內部部署使用者

使用 OT 網路時，除了 Azure 入口網站之外，適用於 IoT 的 Defender 服務和資料也可從內部部署 OT 網路感應器和內部部署感應器管理主控台取得。

除了 Azure 之外，您還需要在 OT 網路感應器和內部部署管理主控台上定義內部部署使用者。 OT 感應器和內部部署管理主控台都已安裝一組預設的特殊權限使用者，您可以用來定義其他系統管理員和使用者。

登入 OT 感應器以定義感應器使用者，然後登入內部部署管理主控台來定義內部部署管理主控台使用者。

如需詳細資訊，請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色。

感測器和內部部署管理控制臺上的 Microsoft Entra 識別碼支援

您可能想要設定感測器與 Microsoft Entra ID 之間的整合，以允許 Microsoft Entra ID 使用者登入您的感測器，或使用 Microsoft Entra ID 群組，並將集體許可權指派給群組中的所有使用者。

例如，當您有大量想要指派 只讀 存取權的使用者，而且您想要在群組層級管理這些許可權時，請使用 Microsoft Entra ID。

適用於 IoT 的 Defender 與 Microsoft Entra ID 整合支援 LDAP v3 和下列 LDAP 型驗證類型：

• 完整驗證：使用者詳細資料是從 LDAP 伺服器擷取的。 範例為名字、姓氏、電子郵件和使用者權限。

• 信任的使用者：只會擷取使用者密碼。 擷取的其他使用者詳細資料是以感應器中定義的使用者為基礎。

如需詳細資訊，請參閱

• 設定 Active Directory 連線
• 外部服務的其他防火牆規則 (選用)。

用於登入感測器主控台的單一登錄

您可以使用 Microsoft Entra ID 為適用於IoT的Defender感測器控制台設定單一登入 （SSO）。 透過 SSO，貴組織的使用者可以直接登入感測器控制台，而且不需要跨不同感測器和月臺的多個登入認證。 如需詳細資訊，請參閱 設定感測器主控台的單一登錄。

內部部署全域存取群組

大型組織通常具有以全域組織結構為基礎的複雜使用者權限模型。 若要管理您的適用於 IoT 的內部部署 Defender 使用者，請使用以業務單位、區域和網站為基礎的全域商務拓撲，然後定義圍繞這些實體的使用者存取權限。

建立使用者存取群組，以跨適用於 IoT 的 Defender 內部部署資源建立全域存取控制。 每個存取群組都包含可存取商務拓撲中 (包括業務單位、區域和網站) 特定實體的使用者相關規則。

例如，下表顯示您如何允許來自 Active Directory 群組的安全性分析師存取所有西歐汽車和玻璃生產線，以及某個區域的某條塑料生產線：

如需詳細資訊，請參閱定義內部部署使用者的全域存取權限。

提示

存取群組和規則透過控制使用者在適用於 IoT 的 Defender 感應器和內部部署管理主控台上管理和分析裝置的位置，協助實作零信任策略。 如需詳細資訊，請參閱零信任和您的 OT/IoT 網路。

下一步

• 管理 Azure 訂用帳戶使用者
• 在 OT 網路感應器上建立和管理使用者
• 在內部部署管理主控台上建立和管理使用者

如需詳細資訊，請參閱

• 適用於 IoT 的 Defender 的 Azure 使用者角色和權限
• 使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色