OT ネットワークセンサーでユーザーを作成および管理する

Microsoft Defender for IoT には、OT ネットワークセンサーでオンプレミスのユーザーアクセスを管理するためのツールが用意されています。 Azureユーザーは、Azure RBAC を使用してAzure サブスクリプションレベルで管理されます。

この記事では、OT ネットワークセンサーでオンプレミスユーザーを直接管理する方法について説明します。

既定の特権ユーザー

既定では、各 OT ネットワークセンサーは特権 管理者 ユーザーと共にインストールされ、トラブルシューティングとセットアップのための高度なツールにアクセスできます。

センサーを初めて設定するときは、管理者ユーザーにサインインし、管理ロールを持つ初期ユーザーを作成してから、セキュリティアナリストと読み取り専用ユーザー用の追加ユーザーを作成します。

詳細については、「 OT センサーのインストールと設定」と「既定の特権オンプレミスユーザー」を参照してください。

23.1.x より前のバージョンのセンサーには、 cyberx と cyberx_host 特権ユーザーも含まれています。バージョン 23.1.x 以降では、これらのユーザーはインストールされますが、既定では有効になっていません。

バージョン 23.1.x 以降の cyberx ユーザーと cyberx_host ユーザーを有効にするには ( Defender for IoT CLI で使用するなど)、パスワードをリセットします。詳細については、「センサーユーザーのパスワードを変更する」を参照してください。

Active Directory 接続を構成する

Active Directory ユーザーがセンサーにサインインし、グループ内のすべてのユーザーに一括アクセス許可を割り当てて Active Directory グループを使用できるようにするには、OT センサーのオンプレミスユーザーを Active Directory で構成することをお勧めします。

たとえば、読み取り専用アクセスを割り当てるユーザーが多数あり、それらのアクセス許可をグループレベルで管理する場合は、Active Directory を使用します。

ヒント

大規模な OT センサー設定の管理を開始する準備ができたら、Azure portalから Active Directory 設定を定義します。 Azure portalから設定を適用すると、センサーコンソールの設定は読み取り専用になります。詳細については、「Azure portalから OT センサー設定を構成する (パブリックプレビュー)」を参照してください。

Active Directory と統合するには:

OT センサーにサインインし 、システム設定>Integrations>Active Directory を選択します。
[Active Directory 統合が有効] オプションをオンに切り替えます。

Active Directory サーバーの次の値を入力します。

名前	説明
ドメインコントローラーの FQDN	完全修飾ドメイン名 (FQDN) は、LDAP サーバーに表示されるとおりです。たとえば、「`host1.subdomain.contoso.com`」と入力します。 FQDN を使用した統合で問題が発生した場合は、DNS 構成をチェックします。統合を設定するときに、FQDN ではなく LDAP サーバーの明示的な IP を入力することもできます。
ドメインコントローラーポート	LDAP が構成されているポート。たとえば、LDAPS (SSL) 接続にはポート 636 を使用します。
プライマリドメイン	ドメイン名 ( `subdomain.contoso.com`など) を選択し、LDAP 構成の接続の種類を選択します。サポートされる接続の種類: LDAPS/NTLMv3 (推奨)、 LDAP/NTLMv3、または LDAP/SASL-MD5
Active Directory グループ	[ + 追加] を選択して、必要に応じて、一覧表示されている各アクセス許可レベルに Active Directory グループを追加します。グループ名を入力するときは、LDAP サーバーの Active Directory 構成で定義されているとおりにグループ名を入力してください。 Active Directory で新しいセンサーユーザーを追加する場合は、これらのグループ名を使用します。サポートされているアクセス許可レベルには、読み取り専用、Security Analyst、管理、信頼されたドメインが含まれます。

重要

LDAP パラメーターを入力する場合:

場合を除き、Active Directory に表示されるとおりに値を定義します。
Active Directory の構成で大文字が使用されている場合でも、ユーザーの小文字のみ。
LDAP と LDAPS を同じドメインに対して構成することはできません。ただし、それぞれを異なるドメインで構成し、同時に使用できます。

別の Active Directory サーバーを追加するには、ページの上部にある [ + サーバーの追加] を選択し、それらのサーバー値を定義します。
すべての Active Directory サーバーを追加したら、[保存] を選択 します。

例:

新しい OT センサーユーザーを追加する

この手順では、特定の OT ネットワークセンサーの新しいユーザーを作成する方法について説明します。

前提条件: この手順は、管理者、cyberx、cyberx_host ユーザー、および管理ロールを持つ任意のユーザーが使用できます。

ユーザーを追加するには:

センサーコンソールにサインインし、[ ユーザー>+ ユーザーの追加] を選択します。

[ ユーザーの作成] |[ユーザー ] ページで、次の詳細を入力します。

名前	説明
[ユーザー名]	ユーザーのわかりやすいユーザー名を入力します。
電子メール	ユーザーのメールアドレスを入力します。
名	ユーザーの名を入力します。
姓	ユーザーの姓を入力します。
役割	管理、Security Analyst、または読み取り専用のいずれかのユーザーロールを選択します。詳細については、「オンプレミスのユーザーロール」を参照してください。
Password	[ ローカル ] または [ Active Directory ユーザー] のいずれかのユーザーの種類を選択します。ローカルユーザーの場合は、ユーザーのパスワードを入力します。パスワードの要件は次のとおりです。 - 少なくとも 8 文字 - 小文字と大文字の両方のアルファベット - 少なくとも 1 つの数値 - 少なくとも 1 つのシンボルローカルユーザーパスワードは、管理ユーザーのみが変更できます。

ヒント

Active Directory と統合すると、ユーザーのグループを特定のアクセス許可レベルに関連付けることができます。 Active Directory を使用してユーザーを作成する場合は、まず Active Directory 接続を構成してから、この手順に戻ります。

作業が完了したら、[保存] を選びます。

新しいユーザーが追加され、センサーの [ユーザー ] ページに一覧表示されます。

ユーザーを編集するには、編集するユーザーの [編集 ] アイコンを選択し、必要に応じて任意の値を変更します。

ユーザーを削除するには、削除するユーザーの [ 削除 ] ボタンを選択します。

センサーユーザーのパスワードを変更する

この手順では、ユーザーがローカルユーザーパスワード管理変更する方法について説明します。管理ユーザーは、自分または他の Security Analyst ユーザーまたは読み取り専用ユーザーのパスワードを変更できます。特権ユーザーは、自分のパスワードと、管理ユーザーのパスワードを変更できます。

ヒント

特権ユーザーアカウントへのアクセスを回復する必要がある場合は、「センサーへの特権アクセスの回復」を参照してください。

前提条件: この手順は、cyberx、admin、または cyberx_host ユーザー、または管理ロールを持つユーザーにのみ使用できます。

センサーでユーザーのパスワードを変更するには:

センサーにサインインし、[ユーザー] を選択 します。
センサーの [ ユーザー] ページで、パスワードを変更する必要があるユーザーを見つけます。
そのユーザー行の右側にあるオプション (...) メニュー >Edit を選択して、ユーザーウィンドウを開きます。
右側のユーザーウィンドウの [ パスワードの変更 ] 領域で、新しいパスワードを入力して確認します。自分のパスワードを変更する場合は、現在のパスワードも入力する必要があります。

パスワードの要件は次のとおりです。
- 少なくとも 8 文字
- 小文字と大文字の両方のアルファベット
- 少なくとも 1 つの数値
- 少なくとも 1 つのシンボル
作業が完了したら、[保存] を選びます。

センサーへの特権アクセスを回復する

この手順では、 cyberx、 admin、または cyberx_host ユーザーのセンサーへの特権アクセスを回復する方法について説明します。詳細については、「既定の特権を持つオンプレミスユーザー」を参照してください。

前提条件: この手順は、 cyberx、 admin、または cyberx_host ユーザーにのみ使用できます。

センサーへの特権アクセスを回復するには:

OT ネットワークセンサーへのサインインを開始します。サインイン画面で、[ リセット ] リンクを選択します。例:
[パスワードのリセット] ダイアログの [ユーザーの選択] メニューから、回復するパスワードを持つユーザー (Cyberx、管理、またはCyberX_host) を選択します。
[パスワード識別子のリセット] に表示されている一意 の識別子 コードをクリップボードにコピーします。例:
Azure portalの [Defender for IoT サイトとセンサー] ページに移動します。新しいブラウザータブまたはウィンドウでAzure portalを開き、センサータブを開いたままにすることもできます。

Azure portal設定 >Directories + サブスクリプションで、センサーが Defender for IoT にオンボードされたサブスクリプションが選択されていることを確認します。
[サイトとセンサー] ページで、使用しているセンサーを見つけて、右側の [パスワードの回復] > [オプション] メニュー (...) を選択します。例:
開いた [ 回復 ] ダイアログで、センサーからクリップボードにコピーした一意の識別子を入力し、[回復] を選択 します。 password_recovery.zip ファイルが自動的にダウンロードされます。

Azure portalからダウンロードされたすべてのファイルは、マシンが署名済み資産のみを使用するように、信頼のルートによって署名されます。
[センサー] タブに戻り、[ パスワードの回復 ] 画面で [ ファイルの選択] を選択します。 Azure portalから先ほどダウンロードした password_recovery.zip ファイルに移動してアップロードします。

注:

ファイルが無効であることを示すエラーメッセージが表示された場合は、Azure portal設定で正しくないサブスクリプションが選択されている可能性があります。

Azureに戻り、上部のツールバーの設定アイコンを選択します。 [ ディレクトリとサブスクリプション ] ページで、センサーが Defender for IoT にオンボードされたサブスクリプションを選択していることを確認します。次に、Azureの手順を繰り返して、password_recovery.zip ファイルをダウンロードし、センサーに再度アップロードします。
[次へ] を選択します。選択したユーザーに使用するセンサーのシステム生成パスワードが表示されます。パスワードは再度表示されないため、必ず書き留めておいてください。
もう一度 [ 次へ ] を選択して、新しいパスワードでセンサーにサインインします。

失敗したサインインの最大数を定義する

OT センサーの CLI アクセスを使用して、OT センサーが同じ IP アドレスから再びサインインできないようにする前に、失敗した最大サインイン数を定義します。

詳細については、「 Defender for IoT CLI ユーザーとアクセス」を参照してください。

前提条件: この手順は、 cyberx ユーザーでのみ使用できます。

SSH 経由で OT センサーにサインインし、次のコマンドを実行します。
```
nano /var/cyberx/components/xsense-web/cyberx_web/settings.py
```
settings.py ファイルで、"MAX_FAILED_LOGINS"値を、定義する失敗したサインインの最大数に設定します。システム内の同時ユーザーの数を考慮してください。
ファイルを終了し、 sudo monit restart all を実行して変更を適用します。

次の手順

詳細については、「ユーザーアクティビティの監査」を参照してください。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-04-29