IoT Central 安全性指南

IoT Central 應用程式可讓您監視和管理裝置，讓您快速評估 IoT 案例。 本指南適用於在 IoT Central 應用程式中管理安全性的系統管理員。

在 IoT Central 中，您可以在下列區域設定和管理安全性：

• 使用者存取您的應用程式。
• 裝置對應用程式的存取。
• 以程式設計方式存取您的應用程式。
• 從您的應用程式對其他服務的驗證。
• 使用安全的虛擬網路。
• 稽核記錄會追蹤應用程式中的活動。

管理使用者存取

每個使用者都必須擁有使用者帳戶，才能登入並存取 IoT Central 應用程式。 IoT Central 目前支援 Microsoft 帳戶和 Microsoft Entra 帳戶，但不支援 Microsoft Entra 群組。

角色 可讓您控制組織內允許誰在 IoT Central 中執行各種工作。 每個角色都有一組特定的權限，可決定角色中的使用者可以在應用程式中查看和執行的動作。 您可以將三個內建角色指派給應用程式的使用者。 如果您需要更精細的控制，您也可以建立具有特定權限的自訂角色。

組織可讓您 定義階層，用來管理哪些使用者可以查看 IoT Central 應用程式中的哪些裝置。 使用者的角色會決定他們對他們看到的裝置的權限，以及他們可以存取的體驗。 使用組織來實作多租用戶應用程式。

若要深入了解，請參閱：

• 管理 IoT Central 應用程式中的使用者和角色
• 管理 IoT Central 組織
• 如何使用 IoT Central REST API 來管理使用者和角色
• 如何使用 IoT Central REST API 來管理組織

管理裝置存取權

裝置會使用 共用存取簽章 （SAS） 權杖 或 X.509 憑證，向 IoT Central 應用程式進行驗證。 建議在生產環境中使用 X.509 憑證。

在 IoT Central 中，您可以使用 裝置連線群組 來管理 IoT Central 應用程式中的裝置驗證選項。

若要深入了解，請參閱：

• IoT Central 中的裝置驗證概念
• 如何將具有 X.509 憑證的裝置連線到 IoT Central 應用程式

裝置存取的網路控制

根據預設，裝置會透過公用因特網連線到 IoT Central。 為了提高安全性，請使用 Azure 虛擬網路中的 私人端點 ，將您的裝置連線到 IoT Central 應用程式。

私人端點會使用虛擬網路位址空間中的私人 IP 位址，以私人方式將您的裝置連線到 IoT Central 應用程式。 虛擬網路上裝置與 IoT 平臺之間的網路流量會周遊虛擬網路和 Microsoft 骨幹網路上的私人連結，從而消除公用因特網上的暴露。

若要深入瞭解，請參閱 使用私人端點的 IoT Central 網路安全性。

管理程式化存取

IoT Central REST API 可讓您開發與 IoT Central 應用程式整合的用戶端應用程式。 使用 REST API 來使用 IoT Central 應用程式中的資源，例如裝置範本、裝置、作業、使用者和角色。

每個 IoT Central REST API 呼叫都需要授權標頭，IoT Central 會用來判斷呼叫端的身分識別，以及呼叫端在應用程式內授與的許可權。

若要使用 REST API 存取 IoT Central 應用程式，您可以使用：

• Microsoft Entra 持有人權杖。 持有人權杖與 Microsoft Entra 使用者帳戶或服務主體相關聯。 權杖會授與呼叫端使用者或服務主體在 IoT Central 應用程式中所擁有的相同許可權。
• IoT Central API 令牌。 API 權杖會與 IoT Central 應用程式中的角色相關聯。

若要深入瞭解，請參閱 如何驗證和授權 IoT Central REST API 呼叫。

向其他服務進行驗證

當您設定從 IoT Central 應用程式匯出至 Azure Blob 儲存體、Azure 服務匯流排或 Azure 事件中樞的連續資料匯出時，您可以使用連接字串或受控識別來進行驗證。 當您設定從 IoT Central 應用程式連續匯出資料至 Azure 資料總管時，可以使用服務主體或受控識別進行驗證。

受控識別更安全，因為：

• 您不會將資源的認證儲存在 IoT Central 應用程式的連接字串中。
• 認證會自動繫結至 IoT Central 應用程式的存留期。
• 受管理的識別會定期自動輪替其安全性金鑰。

若要深入了解，請參閱：

• 將 IoT 資料匯出至 Blob 儲存體
• 設定受控識別

連線到安全虛擬網路內的節點

IoT Central 中的資料匯出可讓您持續將裝置資料串流至目的地，例如 Azure Blob 儲存體、Azure 事件中樞、Azure 服務匯流排傳訊。 您可以選擇使用 Azure 虛擬網路和私人端點來鎖定這些目的地。 若要讓 IoT Central 連線到安全虛擬網路上的目的地，請設定防火牆例外狀況。 若要深入瞭解，請參閱 將資料匯出至 Azure 虛擬網路上的安全目的地。

稽核記錄

稽核記錄可讓系統管理員追蹤 IoT Central 應用程式內的活動。 管理員可以查看誰在什麼時間進行了哪些更改。 若要深入瞭解，請參閱 使用稽核記錄來追蹤 IoT Central 應用程式中的活動。

後續步驟

現在您已瞭解 Azure IoT Central 應用程式中的安全性，建議的下一個步驟是瞭解如何在 IoT Central 應用程式中管理使用者和角色。