IoT Central セキュリティ ガイド

IoT Central アプリケーションを使用すると、デバイスを監視および管理し、IoT シナリオをすばやく評価できます。 このガイドは、IoT Central アプリケーションのセキュリティを管理する管理者向けです。

IoT Central では、次の領域でセキュリティを構成および管理できます。

• アプリケーションへのユーザー アクセス。
• アプリケーションへのデバイス アクセス。
• アプリケーションへのプログラムによるアクセス。
• アプリケーションから他のサービスに対する認証。
• セキュリティで保護された仮想ネットワークを使用します。
• 監査ログは、アプリケーションのアクティビティを追跡します。

ユーザー アクセスを管理する

すべてのユーザーは、サインインして IoT Central アプリケーションにアクセスする前に、ユーザー アカウントを持っている必要があります。 現在、IoT Central は Microsoft アカウントと Microsoft Entra アカウントをサポートしていますが、Microsoft Entra グループはサポートしていません。

ロール を使用すると、組織内で IoT Central でさまざまなタスクを実行できるユーザーを制御できます。 各ロールには、ロール内のユーザーがアプリケーションで表示および実行できる操作を決定する特定のアクセス許可セットがあります。 アプリケーションのユーザーに割り当てることができる組み込みロールは 3 つあります。 詳細な制御が必要な場合は、特定のアクセス許可を持つカスタム ロールを作成することもできます。

組織 では、どのユーザーが IoT Central アプリケーションのどのデバイスを表示できるかを管理するために使用する階層を定義できます。 ユーザーのロールによって、表示されるデバイスに対するアクセス許可と、アクセスできるエクスペリエンスが決まります。 組織を使用してマルチテナント アプリケーションを実装します。

詳細については、以下をご覧ください。

• IoT Central アプリケーションでユーザーとロールを管理する
• IoT Central 組織を管理する
• IoT Central REST API を使用してユーザーとロールを管理する方法
• IoT Central REST API を使用して組織を管理する方法

デバイス アクセスの管理

デバイスは、 Shared Access Signature (SAS) トークン または X.509 証明書を使用して、IoT Central アプリケーションで認証を行います。 運用環境では X.509 証明書をお勧めします。

IoT Central では、 デバイス接続グループ を使用して、IoT Central アプリケーションのデバイス認証オプションを管理します。

詳細については、以下をご覧ください。

• IoT Central でのデバイス認証の概念
• X.509 証明書を持つデバイスを IoT Central アプリケーションに接続する方法

デバイス アクセスのネットワーク制御

既定では、デバイスはパブリック インターネット経由で IoT Central に接続します。 セキュリティを強化するには、Azure Virtual Network の プライベート エンドポイント を使用して、デバイスを IoT Central アプリケーションに接続します。

プライベート エンドポイントでは、仮想ネットワーク アドレス空間のプライベート IP アドレスを使用して、デバイスを IoT Central アプリケーションにプライベートに接続します。 仮想ネットワーク上のデバイスと IoT プラットフォーム間のネットワーク トラフィックは、仮想ネットワークと Microsoft バックボーン ネットワーク上のプライベート リンクを経由するため、パブリック インターネットでの露出を排除します。

詳細については、 プライベート エンドポイントを使用した IoT Central のネットワーク セキュリティに関するページを参照してください。

プログラムによるアクセスを管理する

IoT Central REST API を使用すると、IoT Central アプリケーションと統合するクライアント アプリケーションを開発できます。 REST API を使用して、デバイス テンプレート、デバイス、ジョブ、ユーザー、ロールなどの IoT Central アプリケーション内のリソースを操作します。

すべての IoT Central REST API 呼び出しには、呼び出し元の ID と、呼び出し元がアプリケーション内で付与するアクセス許可を決定するために IoT Central が使用する承認ヘッダーが必要です。

REST API を使用して IoT Central アプリケーションにアクセスするには、次を使用できます。

• Microsoft Entra ベアラー トークン。 ベアラー トークンは、Microsoft Entra ユーザー アカウントまたはサービス プリンシパルのいずれかに関連付けられます。 このトークンは、ユーザーまたはサービス プリンシパルが IoT Central アプリケーションで持っているのと同じアクセス許可を呼び出し元に付与します。
• IoT Central API トークン。 API トークンは、IoT Central アプリケーションのロールに関連付けられます。

詳細については、「 IoT Central REST API 呼び出しを認証および承認する方法」を参照してください。

他のサービスに対する認証

IoT Central アプリケーションから Azure Blob Storage、Azure Service Bus、または Azure Event Hubs への継続的なデータ エクスポートを構成する場合は、接続文字列またはマネージド ID のいずれかを使用して認証できます。 IoT Central アプリケーションから Azure Data Explorer への継続的なデータ エクスポートを構成する場合は、サービス プリンシパルまたはマネージド ID を使用して認証できます。

マネージド ID は、次の理由により、より安全です。

• リソースの資格情報は、IoT Central アプリケーションの接続文字列には格納されません。
• 資格情報は、IoT Central アプリケーションの有効期間に自動的に関連付けられます。
• マネージド ID は、セキュリティ キーを定期的に自動的にローテーションします。

詳細については、以下をご覧ください。

• IoT データを Blob Storage にエクスポートする
• マネージド ID の構成

セキュリティで保護された仮想ネットワーク上の宛先に接続する

IoT Central でのデータ エクスポートを使用すると、Azure Blob Storage、Azure Event Hubs、Azure Service Bus メッセージングなどの宛先にデバイス データを継続的にストリーミングできます。 これらの宛先をロックダウンするには、Azure Virtual Network とプライベート エンドポイントを使用します。 IoT Central がセキュリティで保護された仮想ネットワーク上の宛先に接続できるようにするには、ファイアウォール例外を構成します。 詳細については、「 Azure Virtual Network 上のセキュリティで保護された宛先にデータをエクスポートする」を参照してください。

監査ログ

監査ログを使用すると、管理者は IoT Central アプリケーション内のアクティビティを追跡できます。 管理者は、だれがどの時点でどのような変更を加えたかを確認できます。 詳細については、「 監査ログを使用して IoT Central アプリケーションのアクティビティを追跡する」を参照してください。

次のステップ

Azure IoT Central アプリケーションのセキュリティについて学習したので、推奨される次の手順は、 IoT Central アプリケーションでユーザーとロールを管理する方法について学習することです。