Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender für IoT bietet Tools sowohl im Azure-Portal als auch lokal zum Verwalten des Benutzerzugriffs über Defender für IoT-Ressourcen hinweg.
Azure von Benutzern für Defender für IoT
Im Azure-Portal werden Benutzer auf Abonnementebene mit Microsoft Entra ID und Azure rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) verwaltet. Azure Abonnementbenutzer können über eine oder mehrere Benutzerrollen verfügen, die die Daten und Aktionen bestimmen, auf die sie über die Azure-Portal zugreifen können, einschließlich in Defender für IoT.
Verwenden Sie das Portal oder PowerShell, um Ihren Azure Abonnementbenutzern die spezifischen Rollen zuzuweisen, die sie benötigen, um Daten anzuzeigen und Maßnahmen zu ergreifen, z. B. ob sie Warnungs- oder Gerätedaten anzeigen oder Preispläne und Sensoren verwalten.
Weitere Informationen finden Sie unter Verwalten von Benutzern auf dem Azure-Portal und Azure Benutzerrollen für die OT- und Enterprise IoT-Überwachung.
Lokale Benutzer für Defender für IoT
Bei der Arbeit mit OT-Netzwerken stehen Defender für IoT-Dienste und -Daten zusätzlich zu den Azure-Portal auch von lokalen OT-Netzwerksensoren zur Verfügung.
Zusätzlich zu Azure müssen Sie lokale Benutzer auf Ihren OT-Netzwerksensoren definieren. Die OT-Sensoren werden mit einer Reihe von standardmäßigen privilegierten Benutzern installiert, die Sie verwenden können, um andere Administratoren und Benutzer zu definieren.
Melden Sie sich bei den OT-Sensoren an, um Sensorbenutzer zu definieren.
Weitere Informationen finden Sie unter Lokale Benutzer und Rollen für die OT-Überwachung mit Defender für IoT.
Microsoft Entra ID Unterstützung für Sensoren
Möglicherweise möchten Sie eine Integration zwischen Ihrem Sensor und Microsoft Entra ID konfigurieren, um Microsoft Entra ID Benutzern die Anmeldung bei Ihrem Sensor zu ermöglichen, oder Microsoft Entra ID Gruppen mit kollektiven Berechtigungen zu verwenden, die allen Benutzern in der Gruppe zugewiesen sind.
Verwenden Sie beispielsweise Microsoft Entra ID, wenn Sie über eine große Anzahl von Benutzern verfügen, denen Sie schreibgeschützten Zugriff zuweisen möchten, und Sie diese Berechtigungen auf Gruppenebene verwalten möchten.
Die Integration von Defender für IoT mit Microsoft Entra ID unterstützt LDAP v3 und die folgenden Ldap-basierten Authentifizierungstypen:
Vollständige Authentifizierung: Benutzerdetails werden vom LDAP-Server abgerufen. Beispiele hierfür sind der Vorname, der Nachname, die E-Mail-Adresse und die Benutzerberechtigungen.
Vertrauenswürdiger Benutzer: Nur das Benutzerkennwort wird abgerufen. Andere Benutzerdetails, die abgerufen werden, basieren auf Benutzern, die im Sensor definiert sind.
Weitere Informationen finden Sie unter:
- Konfigurieren einer Active Directory-Verbindung
- Andere Firewallregeln für externe Dienste (optional)
Einmaliges Anmelden für die Anmeldung bei der Sensorkonsole
Sie können das einmalige Anmelden (Single Sign-On, SSO) für die Defender für IoT-Sensorkonsole mithilfe von Microsoft Entra ID einrichten. Mit SSO können sich die Benutzer Ihrer organization einfach bei der Sensorkonsole anmelden und benötigen nicht mehrere Anmeldeinformationen für verschiedene Sensoren und Standorte. Weitere Informationen finden Sie unter Einrichten des einmaligen Anmeldens für die Sensorkonsole.
Lokale globale Zugriffsgruppen
Große Organisationen verfügen häufig über ein komplexes Benutzerberechtigungsmodell, das auf globalen Organisationsstrukturen basiert. Um Ihre lokalen Defender für IoT-Benutzer zu verwalten, verwenden Sie eine globale Geschäftstopologie, die auf Geschäftseinheiten, Regionen und Standorten basiert, und definieren Sie dann Benutzerzugriffsberechtigungen für diese Entitäten.
Erstellen Sie Benutzerzugriffsgruppen, um die globale Zugriffssteuerung für lokale Defender für IoT-Ressourcen einzurichten. Jede Zugriffsgruppe enthält Regeln für die Benutzer, die auf bestimmte Entitäten in Ihrer Geschäftstopologie zugreifen können, einschließlich Geschäftseinheiten, Regionen und Websites.
Das folgende Diagramm zeigt beispielsweise, wie Sie Sicherheitsanalysten aus einer Active Directory-Gruppe den Zugriff auf alle westeuropäischen Automobil- und Glasproduktionslinien zusammen mit einer Kunststofflinie in einer Region ermöglichen können:
Weitere Informationen finden Sie unter Definieren der globalen Zugriffsberechtigung für lokale Benutzer.
Tipp
Zugriffsgruppen und Regeln helfen bei der Implementierung Zero Trust Strategien, indem sie steuern, wo Benutzer Geräte auf Defender für IoT-Sensoren verwalten und analysieren. Weitere Informationen finden Sie unter Zero Trust und Ihre OT/IoT-Netzwerke.
Nächste Schritte
- Verwalten von Azure Abonnementbenutzern
- Erstellen und Verwalten von Benutzern auf einem OT-Netzwerksensor
Weitere Informationen finden Sie unter: