部署實體隔離斷網 OT 感應器管理 (舊版)
重要
適用於 IoT 的 Defender 現在建議使用 Microsoft 雲端服務或現有的 IT 基礎結構進行集中監視和感應器管理,並計劃於 2025 年 1 月 1 日淘汰內部部署管理主控台。
如需詳細資訊,請參閱 部署混合式或實體隔離斷網 OT 感應器管理。
當您使用多個無法由 Azure 入口網站管理的實體隔離斷網 OT 感應器時,建議您部署內部部署管理控制台來管理您的實體隔離斷網 OT 感應器。
下圖會說明部署內部部署管理控制台中包含的步驟。 深入了解下列各章節中的每個部署步驟,包括相關交叉參考以獲取更多詳細資訊。
部署內部部署管理主控台會由您的部署小組完成。 您可以在部署您的 OT 感應器之前或之後,或平行部署內部部署管理主控台。
部署步驟
| 步驟 | 描述 |
|---|---|
| 準備內部部署管理主控台設備 | 請為內部部署管理控制台準備設備,就像您為 OT 感應器準備內部部署設備一樣。 若要為生產環境部署 CA 簽署的憑證,請務必也準備您的憑證。 |
| 安裝適用於 IoT 的 Microsoft Defender 內部部署管理主控台軟體 | 從 Azure 入口網站下載安裝軟體,並將其安裝在您的內部部署管理控制台設備上。 |
| 啟用和設定內部部署管理主控台 | 使用從 Azure 入口網站下載的啟用檔案來啟用您的內部部署管理主控台。 |
| 在內部部署管理主控台上建立 OT 網站和區域 | 如果您正在使用大型的實體隔離斷網部署,建議您在內部部署管理控制台上建立網站和區域,以協助您監視未經授權的跨網路區段流量,並且是使用 零信任 原則部署適用於 IoT 的 Defender 的一部分。 |
| 將 OT 網路感應器連線到內部部署管理主控台 | 將您的實體隔離斷網 OT 感應器連線到內部部署管理控制台,以檢視彙總的資料,並設定所有連線系統的進一步設定。 |
注意
在 Azure 入口網站上設定的網站和區域不會與 內部部署管理控制台上設定的網站和區域同步處理。
操作大型部署時,建議您使用 Azure 入口網站來管理雲端連線的感應器,以及內部部署管理控制台來管理本機管理的感應器。
選擇性設定
部署內部部署管理主控台時,您可能也想要設定下列選項:
Active Directory 整合,以允許 Active Directory 使用者登入您的內部部署管理控制台、使用 Active Directory 群組,並設定全域存取群組。
從 OT 網路感應器的 Proxy 通道存取,增強適用於 IoT 的 Defender 系統的系統安全性
內部部署管理主控台的高可用性,降低 OT 感應器管理資源的風險
透過 Proxy 通道存取 OT 網路感應器
您可能會想防止內部部署管理控制台直接存取 OT 感應器以增強系統安全性。
在這種情況下,請在內部部署管理控制台上設定 Proxy 通道,以允許使用者透過內部部署管理控制台連線到 OT 感應器。 例如:
登入 OT 感應器之後,使用者體驗會維持不變。 如需詳細資訊,請參閱 透過通道設定 OT 感應器存取。
內部部署管理主控台的高可用性
使用適用於 IoT 的 Defender 部署大型 OT 監視系統時,您可能會想要在內部部署管理控制台上使用一對主要和次要機器,以取得高可用性。
使用高可用性架構時:
| 功能 | 描述 |
|---|---|
| 安全連線 | 系統會套用內部部署管理主控台 SSL/TLS 憑證,以在主要與次要設備之間建立安全連線。 使用 CA 簽署的憑證或安裝期間產生的自我簽署憑證。 如需詳細資訊,請參閱: - 內部部署資源的 SSL/TLS 憑證需求 - 為 OT 設備建立 SSL/TLS 憑證 - 管理 SSL/TLS 憑證 |
| 資料備份 | 主要內部部署管理主控台資料會每隔 10 分鐘自動備份至次要內部部署管理主控台。 如需詳細資訊,請參閱 備份及還原內部部署管理主控台。 |
| 系統設定 | 主要內部部署管理控制台上定義的系統設定會在次要伺服器上重複。 例如,如果在主要設備上更新系統設定,也會在次要設備上更新。 |
如需高可用性的詳細資訊,請參閱 關於高可用性。