Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Beispielcode für IoT Hub, der zeigt, wie allgemeine IoT-Szenarien implementiert werden, finden Sie in den Schnellstarts zu IoT Hub. Es gibt Schnellstarts für mehrere Programmiersprachen, einschließlich C, Node.jsund Python.
Diese Seite ist ein Index der integrierten Azure-Richtliniendefinitionen für Azure IoT Hub. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Azure IoT Hub
| Name (Azure-Portal) |
BESCHREIBUNG | Effekt(en) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Azure IoT Hub muss einen kundenseitig verwalteten Schlüssel zum Verschlüsseln von ruhenden Daten verwenden | Durch die Verschlüsselung ruhender IoT Hub-Daten mithilfe eines kundenseitig verwalteten Schlüssels wird zusätzlich zur Standardverschlüsselung mit dienstseitig verwalteten Schlüsseln eine weitere Verschlüsselungsebene bereitgestellt. Der Kunde erhält die Kontrolle über die Schlüssel, kann benutzerdefinierte Richtlinien für die Rotation festlegen und durch eine Schlüsselzugriffskontrolle den Zugriff auf die Daten steuern. Kundenseitig verwaltete Schlüssel müssen während der Erstellung des IoT-Hubs konfiguriert werden. Weitere Informationen zum Konfigurieren kundenseitig verwalteter Schlüssel finden Sie unter https://aka.ms/iotcmk. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-Vorschau |
| [Vorschau]: Daten des IoT Hub-Gerätebereitstellungsdiensts müssen mithilfe von kundenseitig verwalteten Schlüsseln (CMKs) verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für Ihren IoT Hub-Gerätebereitstellungsdienst zu verwalten. Ruhende Daten werden automatisch mit dienstseitig verwalteten Schlüsseln verschlüsselt, aber zur Einhaltung behördlicher Konformitätsstandards werden häufig kundenseitig verwaltete Schlüssel (Customer-Managed Keys, CMKs) benötigt. Mit CMKs können die Daten mit einem Azure Key Vault-Schlüssel verschlüsselt werden, der von Ihnen erstellt wird und sich in Ihrem Besitz befindet. Weitere Informationen zur CMK-Verschlüsselung finden Sie unter https://aka.ms/dps/CMK. | Überprüfen, Verweigern, Deaktiviert | 1.0.0-Vorschau |
| Für Azure IoT Hub sollten die lokalen Authentifizierungsmethoden für Dienst-APIs deaktiviert sein. | Das Deaktivieren lokaler Authentifizierungsmethoden verbessert die Sicherheit, da hierdurch sichergestellt wird, dass Azure IoT Hub ausschließlich Azure Active Directory-Identitäten für die Dienst-API-Authentifizierung anfordert. Weitere Informationen finden Sie unter https://aka.ms/iothubdisablelocalauth. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Azure IoT Hub zum Deaktivieren der lokalen Authentifizierung konfigurieren | Deaktivieren Sie lokale Authentifizierungsmethoden, damit Azure IoT Hub ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordert. Weitere Informationen finden Sie unter https://aka.ms/iothubdisablelocalauth. | Bearbeiten, Deaktivieren | 1.0.0 |
| IoT Hub Device Provisioning-Instanz zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie für Ihre IoT Hub Device Provisioning-Instanz den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich ist. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. | Bearbeiten, Deaktivieren | 1.0.0 |
| IoT Hub Device Provisioning Service-Instanzen mit privaten Endpunkten konfigurieren | Private Endpunkte verbinden Ihr virtuelles Netzwerk ohne eine öffentliche IP-Adresse an Quelle oder Ziel mit Azure-Diensten. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Bereitstellen: Azure IoT Hub mit privaten Endpunkten konfigurieren | Ein privater Endpunkt ist eine private IP-Adresse, die innerhalb eines kundeneigenen virtuellen Netzwerks zugewiesen wird und über die eine Azure-Ressource erreichbar ist. Mit dieser Richtlinie wird ein privater Endpunkt für Ihre IoT Hub-Instanz bereitgestellt, damit Dienste innerhalb Ihres virtuellen Netzwerks IoT Hub erreichen können, ohne dass Datenverkehr an den öffentlichen Endpunkt von IoT Hub gesendet werden muss. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für IoT Hub (microsoft.devices/iothubs) in Event Hub | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für IoT Hub (microsoft.devices/iothubs) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.2.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für IoT Hub (microsoft.devices/iothubs) in Log Analytics | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für IoT Hub (microsoft.devices/iothubs) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für IoT Hub (microsoft.devices/iothubs) in Storage | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Storage-Konto für IoT Hub (microsoft.devices/iothubs) weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.1.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Microsoft.devices/provisioningservices in Event Hub | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für microsoft.devices/provisioningservices weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für microsoft.devices/provisioningservices in Log Analytics | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für microsoft.devices/provisioningservices weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für Microsoft.devices/provisioningservices im Speicher | Ressourcenprotokolle müssen aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Sichtbarkeit und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für microsoft.devices/provisioningservices weiterzuleiten. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 1.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen den Zugriff über öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass die IoT Hub Device Provisioning Service-Instanz nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung der IoT Hub Device Provisioning Service-Instanz einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/iotdpsvnet. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden | Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. | Audit, deaktiviert | 1.0.0 |
| Ändern: Azure IoT Hub zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Azure IoT Hub-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Richtlinie wird der Zugriff über öffentliche Netzwerke auf IoT Hub-Ressourcen deaktiviert. | Bearbeiten, Deaktivieren | 1.0.0 |
| Für IoT Hub muss ein privater Endpunkt aktiviert sein | Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem private Konnektivität mit IoT Hub ermöglicht wird. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. | Audit, deaktiviert | 1.0.0 |
| Für Azure IoT Hub muss der Zugriff über öffentliche Netzwerke deaktiviert sein | Hiermit wird die Eigenschaft für den Zugriff über öffentliche Netzwerke deaktiviert. So wird die Sicherheit erhöht und gewährleistet, dass auf Ihre Azure IoT Hub-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| In IoT Hub müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 3.1.0 |
Nächste Schritte
- Sehen Sie sich die eingebauten Funktionen im GitHub-Repository für Azure-Richtlinien an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Überprüfen Sie das Verständnis von Richtlinieneffekten.