Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mit einer IoT Central-Anwendung können Sie Ihre Geräte überwachen und verwalten, sodass Sie Ihr IoT-Szenario schnell auswerten können. Dieses Handbuch richtet sich an Administratoren, die die Sicherheit in IoT Central-Anwendungen verwalten.
In IoT Central können Sie die Sicherheit in den folgenden Bereichen konfigurieren und verwalten:
- Benutzerzugriff auf Ihre Anwendung.
- Gerätezugriff auf Ihre Anwendung.
- Programmgesteuerter Zugriff auf Ihre Anwendung.
- Authentifizierung für andere Dienste aus Ihrer Anwendung.
- Verwenden Sie ein sicheres virtuelles Netzwerk.
- Überwachungsprotokolle verfolgen aktivitäten in der Anwendung.
Verwalten des Benutzerzugriffs
Jeder Benutzer muss über ein Benutzerkonto verfügen, bevor er sich anmelden und auf eine IoT Central-Anwendung zugreifen kann. IoT Central unterstützt derzeit Microsoft-Konten und Microsoft Entra-Konten, aber keine Microsoft Entra-Gruppen.
Mithilfe von Rollen können Sie steuern, wer innerhalb Ihrer Organisation verschiedene Aufgaben in IoT Central ausführen darf. Jede Rolle verfügt über einen bestimmten Satz von Berechtigungen, mit denen bestimmt wird, was ein Benutzer in der Rolle in der Anwendung sehen und ausführen kann. Es gibt drei integrierte Rollen, die Sie Benutzern Ihrer Anwendung zuweisen können. Sie können auch benutzerdefinierte Rollen mit bestimmten Berechtigungen erstellen, wenn Sie eine präzisere Steuerung erfordern.
Organisationen ermöglichen es Ihnen, eine Hierarchie zu definieren, mit der Sie verwalten können, welche Benutzer sehen können, welche Geräte in Ihrer IoT Central-Anwendung vorhanden sind. Die Rolle des Benutzers bestimmt seine Berechtigungen für die angezeigten Geräte und die Benutzeroberflächen, auf die er zugreifen kann. Verwenden Sie Organisationen, um eine mehrinstanzenfähige Anwendung zu implementieren.
Weitere Informationen finden Sie unter:
- Verwalten von Benutzern und Rollen in Ihrer IoT Central-Anwendung
- Verwalten von IoT Central-Organisationen
- Verwenden der IoT Central REST-API zum Verwalten von Benutzern und Rollen
- Verwenden der IoT Central REST-API zum Verwalten von Organisationen
Verwalten des Gerätezugriffs
Geräte authentifizieren sich mit der IoT Central-Anwendung mithilfe eines SAS-Tokens (Shared Access Signature) oder eines X.509-Zertifikats. X.509-Zertifikate werden in Produktionsumgebungen empfohlen.
In IoT Central verwenden Sie Geräteverbindungsgruppen , um die Geräteauthentifizierungsoptionen in Ihrer IoT Central-Anwendung zu verwalten.
Weitere Informationen finden Sie unter:
- Geräteauthentifizierungskonzepte in IoT Central
- So verbinden Sie Geräte mit X.509-Zertifikaten mit ioT Central Application
Netzwerksteuerelemente für den Gerätezugriff
Standardmäßig stellen Geräte über das öffentliche Internet eine Verbindung mit IoT Central her. Um mehr Sicherheit zu gewährleisten, verbinden Sie Ihre Geräte mit Ihrer IoT Central-Anwendung, indem Sie einen privaten Endpunkt in einem virtuellen Azure-Netzwerk verwenden.
Private Endpunkte verwenden private IP-Adressen aus einem virtuellen Netzwerkadressraum, um Ihre Geräte privat mit Ihrer IoT Central-Anwendung zu verbinden. Netzwerkdatenverkehr zwischen Geräten im virtuellen Netzwerk und der IoT-Plattform durchläuft das virtuelle Netzwerk und eine private Verbindung im Microsoft Backbone-Netzwerk, wodurch die Gefährdung im öffentlichen Internet eliminiert wird.
Weitere Informationen finden Sie unter Netzwerksicherheit für IoT Central mithilfe privater Endpunkte.
Programmgesteuerten Zugriff verwalten
Mit der IoT Central REST-API können Sie Clientanwendungen entwickeln, die in IoT Central-Anwendungen integriert werden. Verwenden Sie die REST-API, um mit Ressourcen in Ihrer IoT Central-Anwendung wie Gerätevorlagen, Geräte, Aufträge, Benutzer und Rollen zu arbeiten.
Jeder IoT Central REST-API-Aufruf erfordert einen Autorisierungsheader, den IoT Central verwendet, um die Identität des Aufrufers und die Berechtigungen zu bestimmen, die der Aufrufer innerhalb der Anwendung gewährt.
Um mithilfe der REST-API auf eine IoT Central-Anwendung zuzugreifen, können Sie folgendes verwenden:
- Microsoft Entra Bearertoken. Ein Bearertoken ist entweder einem Microsoft Entra-Benutzerkonto oder einem Dienstprinzipal zugeordnet. Das Token gewährt dem Aufrufer die gleichen Berechtigungen, die der Benutzer oder Dienstprinzipal in der IoT Central-Anwendung hat.
- Der IoT Central API Token. Ein API-Token ist einer Rolle in Ihrer IoT Central-Anwendung zugeordnet.
Weitere Informationen finden Sie unter Authentifizieren und Autorisieren von IoT Central REST API-Aufrufen.
Authentifizieren bei anderen Diensten
Wenn Sie einen kontinuierlichen Datenexport aus Ihrer IoT Central-Anwendung in Azure Blob Storage, Azure Service Bus oder Azure Event Hubs konfigurieren, können Sie entweder eine Verbindungszeichenfolge oder eine verwaltete Identität zur Authentifizierung verwenden. Wenn Sie einen kontinuierlichen Datenexport von Ihrer IoT Central-Anwendung zu Azure Data Explorer konfigurieren, können Sie entweder einen Dienstprinzipal oder eine verwaltete Identität zur Authentifizierung verwenden.
Verwaltete Identitäten sind sicherer, da:
- Sie speichern die Anmeldeinformationen für Ihre Ressource nicht in einer Verbindungszeichenfolge in Ihrer IoT Central-Anwendung.
- Die Anmeldeinformationen sind automatisch an die Lebensdauer Ihrer IoT Central-Anwendung gebunden.
- Verwaltete Identitäten drehen ihre Sicherheitsschlüssel automatisch regelmäßig.
Weitere Informationen finden Sie unter:
Herstellen einer Verbindung mit einem Ziel in einem sicheren virtuellen Netzwerk
Mit dem Datenexport in IoT Central können Sie Gerätedaten kontinuierlich an Ziele wie Azure Blob Storage, Azure Event Hubs, Azure Service Bus Messaging streamen. Sie können diese Ziele mithilfe eines virtuellen Azure-Netzwerks und privater Endpunkte sperren. Um ioT Central zum Herstellen einer Verbindung mit einem Ziel in einem sicheren virtuellen Netzwerk zu aktivieren, konfigurieren Sie eine Firewall-Ausnahme. Weitere Informationen finden Sie unter Exportieren von Daten in ein sicheres Ziel in einem virtuellen Azure-Netzwerk.
Überwachungsprotokolle
Überwachungsprotokolle ermöglichen Administratoren das Nachverfolgen von Aktivitäten in Ihrer IoT Central-Anwendung. Administratoren können sehen, wer zu welchem Zeitpunkt änderungen vorgenommen hat. Weitere Informationen finden Sie unter Verwenden von Überwachungsprotokollen zum Nachverfolgen von Aktivitäten in Ihrer IoT Central-Anwendung.
Nächste Schritte
Nachdem Sie nun die Sicherheit in Ihrer Azure IoT Central-Anwendung kennengelernt haben, besteht der vorgeschlagene nächste Schritt darin, zu erfahren, wie Sie Benutzer und Rollen in Ihrer IoT Central-Anwendung verwalten.