Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Defender per IoT fornisce strumenti sia in portale di Azure che in locale per la gestione dell'accesso degli utenti nelle risorse di Defender per IoT.
Azure utenti per Defender per IoT
Nel portale di Azure, gli utenti vengono gestiti a livello di sottoscrizione con Microsoft Entra ID e Azure controllo degli accessi in base al ruolo. Azure gli utenti della sottoscrizione possono avere uno o più ruoli utente, che determinano i dati e le azioni a cui possono accedere dal portale di Azure, incluso In Defender per IoT.
Usare il portale o PowerShell per assegnare agli utenti della sottoscrizione di Azure i ruoli specifici necessari per visualizzare i dati e intervenire, ad esempio se visualizzano i dati di avviso o del dispositivo o se gestiscono piani tariffari e sensori.
Per altre informazioni, vedere Gestire gli utenti nel portale di Azure e Azure ruoli utente per il monitoraggio IoT di OT ed enterprise
Utenti locali per Defender per IoT
Quando si usano reti OT, i servizi e i dati di Defender per IoT sono disponibili anche da sensori di rete OT locali oltre ai portale di Azure.
Oltre a Azure, è necessario definire gli utenti locali nei sensori di rete OT. I sensori OT vengono installati con un set di utenti con privilegi predefiniti, che è possibile usare per definire altri amministratori e utenti.
Accedere ai sensori OT per definire gli utenti dei sensori.
Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.
supporto Microsoft Entra ID sui sensori
È possibile configurare un'integrazione tra il sensore e Microsoft Entra ID per consentire agli utenti Microsoft Entra ID di accedere al sensore o di usare Microsoft Entra ID gruppi, con autorizzazioni collettive assegnate a tutti gli utenti del gruppo.
Ad esempio, usare Microsoft Entra ID quando si dispone di un numero elevato di utenti a cui si vuole assegnare l'accesso in sola lettura e si vuole gestire tali autorizzazioni a livello di gruppo.
L'integrazione di Defender per IoT con Microsoft Entra ID supporta LDAP v3 e i tipi seguenti di autenticazione basata su LDAP:
Autenticazione completa: i dettagli utente vengono recuperati dal server LDAP. Esempi sono il nome, il cognome, la posta elettronica e le autorizzazioni utente.
Utente attendibile: viene recuperata solo la password utente. Altri dettagli utente recuperati si basano sugli utenti definiti nel sensore.
Per altre informazioni, vedere:
- Configurare una connessione active directory
- Altre regole del firewall per i servizi esterni (facoltativo).
Single Sign-On per l'accesso alla console del sensore
È possibile configurare l'accesso Single Sign-On (SSO) per la console del sensore Defender per IoT usando Microsoft Entra ID. Con l'accesso SSO, gli utenti dell'organizzazione possono semplicemente accedere alla console del sensore e non hanno bisogno di più credenziali di accesso tra sensori e siti diversi. Per altre informazioni, vedere Configurare l'accesso Single Sign-On per la console del sensore.
Gruppi di accesso globale locali
Le organizzazioni di grandi dimensioni hanno spesso un modello di autorizzazioni utente complesso basato su strutture organizzative globali. Per gestire gli utenti di Defender per IoT locali, usare una topologia aziendale globale basata su business unit, aree e siti e quindi definire le autorizzazioni di accesso utente per tali entità.
Creare gruppi di accesso utente per stabilire il controllo di accesso globale tra le risorse locali di Defender per IoT. Ogni gruppo di accesso include regole relative agli utenti che possono accedere a entità specifiche nella topologia aziendale, tra cui business unit, aree e siti.
Ad esempio, il diagramma seguente mostra come consentire agli analisti della sicurezza di un gruppo di Active Directory di accedere a tutte le linee di produzione di automobili e vetro dell'Europa occidentale, insieme a una linea di plastica in un'area:
Per altre informazioni, vedere Definire l'autorizzazione di accesso globale per gli utenti locali.
Consiglio
Le regole e i gruppi di accesso consentono di implementare strategie di Zero Trust controllando dove gli utenti gestiscono e analizzano i dispositivi nei sensori Defender per IoT. Per altre informazioni, vedere Zero Trust e le reti OT/IoT.
Passaggi successivi
Per altre informazioni, vedere: