Sicherheitsleitfaden für IoT Central

Mit einer IoT Central-Anwendung können Sie Ihre Geräte überwachen und verwalten und so Ihr IoT-Szenario schnell auswerten. Dieser Leitfaden richtet sich an Administratoren, die die Sicherheit in IoT Central-Anwendungen verwalten.

In IoT Central können Sie die Sicherheit in den folgenden Bereichen konfigurieren und verwalten:

• Benutzerzugriff auf Ihre Anwendung
• Gerätezugriff auf Ihre Anwendung
• Programmgesteuerter Zugriff auf Ihre Anwendung
• Authentifizierung bei anderen Diensten über Ihre Anwendung
• Verwenden Sie ein sicheres virtuelles Netzwerk.
• Überwachungsprotokolle verfolgen Aktivitäten in der Anwendung nach.

Verwalten des Benutzerzugriffs

Jeder Benutzer muss ein Benutzerkonto besitzen, um sich bei einer Azure IoT Central-Anwendung anmelden und auf diese zugreifen zu können. IoT Central unterstützt derzeit Microsoft-Konten und Microsoft Entra-Konten, aber keine Microsoft Entra-Gruppen.

Mit Rollen können Sie steuern, wer in Ihrer Organisation verschiedene Aufgaben in IoT Central ausführen darf. Jede Rolle verfügt über einen bestimmten Satz von Berechtigungen, die bestimmen, was ein Benutzer in der Rolle sehen und in der Anwendung tun kann. Es gibt drei integrierte Rollen, die Sie Benutzern Ihrer Anwendung zuweisen können. Sie können auch benutzerdefinierte Rollen mit spezifischen Berechtigungen erstellen, wenn Sie eine präzisere Steuerung benötigen.

Mit Organisationen können Sie eine Hierarchie definieren, mit der Sie verwalten, welche Benutzer welche Geräte in Ihrer IoT Central-Anwendung sehen können. Die Rolle des Benutzers bestimmt, welche Geräte er sehen und auf welche Umgebungen er zugreifen kann. Verwenden Sie Organisationen, um eine Anwendung mit mehreren Mandanten zu implementieren.

Weitere Informationen finden Sie unter:

• Verwalten von Benutzern und Rollen in Ihrer IoT Central-Anwendung
• Verwalten von IoT Central-Organisationen
• Verwenden der IoT Central-REST-API zum Verwalten von Benutzern und Rollen
• Verwenden der IoT Central REST-API zum Verwalten von Organisationen

Verwalten des Gerätezugriffs

Geräte authentifizieren sich bei der IoT Central-Anwendung entweder mithilfe eines Shared Access Signature-Tokens (SAS) oder eines X.509-Zertifikats. In Produktionsumgebungen werden X.509-Zertifikate empfohlen.

In Ihrer IoT Central-Anwendung.verwenden Sie Geräteverbindungsgruppen zur Verwaltung der Geräteauthentifizierungsoptionen.

Weitere Informationen finden Sie unter:

• Geräteauthentifizierungskonzepte in IoT Central
• Verbinden von Geräten mit X.509-Zertifikaten mit einer Azure IoT Central-Anwendung

Netzwerksteuerelemente für den Gerätezugriff

Standardmäßig stellen Geräte eine Verbindung mit IoT Central über das öffentliche Internet her. Für mehr Sicherheit können Sie Ihre Geräte mit Ihrer IoT Central-Anwendung verbinden, indem Sie einen privaten Endpunkt in einem virtuellen Netzwerk von Azure verwenden.

Private Endpunkte verwenden private IP-Adressen aus einem Adressraum eines virtuellen Netzwerks, um Ihre Geräte privat mit Ihrer IoT Central-Anwendung zu verbinden. Der Netzwerkdatenverkehr zwischen den Geräten im virtuellen Netzwerk und der Registrierung wird über das virtuelle Netzwerk und eine private Verbindung im Microsoft-Backbone-Netzwerk geleitet und somit nicht dem öffentlichen Internet ausgesetzt.

Weitere Informationen finden Sie unter Netzwerksicherheit für IoT Central mit privaten Endpunkten.

Programmgesteuerten Zugriff verwalten

Mit der IoT Central-REST-API können Sie Clientanwendungen entwickeln, die in IoT Central-Anwendungen integriert werden. Verwenden Sie die REST-API, um mit Ressourcen in Ihrer IoT Central-Anwendung zu arbeiten, z. B. Gerätevorlagen, Geräte, Aufträge, Benutzer und Rollen.

Jeder IoT Central REST-API-Aufruf erfordert einen Autorisierungsheader, der IoT Central verwendet, um die Identität des Aufrufers und die Berechtigungen zu bestimmen, die dem Aufrufer innerhalb der Anwendung erteilt werden.

Um mithilfe IoT Central REST-API auf eine Anwendung zuzugreifen, können Sie eine der folgenden Funktionen verwenden:

• Microsoft Entra Bearertoken. Ein Bearertoken ist entweder einem Microsoft Entra-Benutzerkonto oder einem Dienstprinzipal zugeordnet. Das Token gewährt dem Aufrufer die gleichen Berechtigungen wie dem Benutzer oder Dienstprinzipal in der IoT Central-Anwendung.
• IoT Central-API-Token. Ein API-Token ist einer Rolle in Ihrer IoT Central-Anwendung zugeordnet.

Weitere Informationen finden Sie unter Authentifizieren und Autorisieren von IoT Central-REST-API-Aufrufen.

Authentifizieren bei anderen Diensten

Wenn Sie einen kontinuierlichen Datenexport aus Ihrer IoT Central-Anwendung in Azure Blob Storage, Azure Service Bus oder Azure Event Hubs konfigurieren, können Sie entweder eine Verbindungszeichenfolge oder eine verwaltete Identität zum Authentifizieren verwenden. Wenn Sie einen kontinuierlichen Datenexport von Ihrer IoT Central-Anwendung zu Azure Data Explorer konfigurieren, können Sie entweder einen Dienstprinzipal oder eine verwaltete Identität zur Authentifizierung verwenden.

Verwaltete Identitäten sind aus folgenden Gründen sicherer:

• Sie speichern die Anmeldeinformationen für Ihre Ressource nicht in einer Verbindungszeichenfolge in Ihrer IoT Central-Anwendung.
• Die Anmeldeinformationen sind automatisch an die Lebensdauer Ihrer IoT Central-Anwendung gebunden.
• Verwaltete Identitäten rotieren ihre Sicherheitsschlüssel automatisch regelmäßig.

Weitere Informationen finden Sie unter:

• IoT-Daten mit einem Blob-Speicher in die Cloud exportieren
• Konfigurieren einer verwalteten Identität

Verbinden zu einem Ziel in einem sicheren virtuellen Netzwerk

Mit dem Datenexport in IoT Central können Sie Gerätedaten kontinuierlich an Ziele wie Azure Blob Storage, Azure Event Hubs und Azure Service Bus Messaging streamen. Sie können diese Ziele mit einem Azure Virtual Network und privaten Endpunkten einschränken. Um zu aktivieren, dass sich IoT Central mit einem Ziel auf einem sicheren virtuellen Netzwerk verbinden kann, konfigurieren Sie eine Firewall-Ausnahme. Weitere Informationen finden Sie unter Exportieren von Daten in ein sicheres Ziel in einem Azure Virtual Network.

Überwachungsprotokolle

Überwachungsprotokolle ermöglichen Administratoren das Nachverfolgen von Aktivitäten in Ihrer IoT Central-Anwendung. Administratoren können sehen, wer zu welchem Zeitpunkt welche Änderungen vorgenommen hat. Weitere Informationen finden Sie unter Verwenden von Überwachungsprotokollen zum Nachverfolgen von Aktivitäten in Ihrer IoT Central-Anwendung.

Nächste Schritte

Nachdem Sie nun mehr über die Verwaltung Ihrer Azure IoT Central-Anwendung erfahren haben, wird im nächsten Schritt empfohlen, sich mit dem Verwalten von Benutzern und Rollen in Azure IoT Central vertraut zu machen.