Gestione utenti di Microsoft Defender per IoT

Microsoft Defender per IoT offre strumenti sia nel portale di Azure che in locale per la gestione dell'accesso degli utenti tra le risorse di Defender per IoT.

Utenti di Azure per Defender per IoT

Nell'portale di Azure gli utenti vengono gestiti a livello di sottoscrizione con l'ID Microsoft Entra e il controllo degli accessi in base al ruolo di Azure. Gli utenti delle sottoscrizioni di Azure possono avere uno o più ruoli utente, che determinano i dati e le azioni a cui possono accedere dal portale di Azure, incluso In Defender per IoT.

Usare il portale o PowerShell per assegnare agli utenti della sottoscrizione di Azure i ruoli specifici necessari per visualizzare i dati e intervenire, ad esempio se visualizzeranno i dati degli avvisi o dei dispositivi o gestire piani tariffari e sensori.

Per altre informazioni, vedere Gestire gli utenti nei ruoli utente di portale di Azure e Azure per il monitoraggio di OT ed Enterprise IoT

Utenti locali per Defender per IoT

Quando si lavora con le reti OT, i servizi e i dati di Defender per IoT sono disponibili anche dai sensori di rete OT locali e dalla console di gestione dei sensori locali, oltre al portale di Azure.

È necessario definire gli utenti locali sia nei sensori di rete OT che nella console di gestione locale, oltre ad Azure. Sia i sensori OT che la console di gestione locale vengono installati con un set di utenti con privilegi predefiniti, che è possibile usare per definire altri amministratori e utenti.

Accedere ai sensori OT per definire gli utenti dei sensori e accedere alla console di gestione locale per definire gli utenti della console di gestione locale.

Per altre informazioni, vedere Utenti e ruoli locali per il monitoraggio OT con Defender per IoT.

Supporto di Microsoft Entra ID nei sensori e nelle console di gestione locali

Potrebbe essere necessario configurare un'integrazione tra il sensore e l'ID Microsoft Entra per consentire agli utenti di Microsoft Entra ID di accedere al sensore o di usare i gruppi di ID Entra Di Microsoft, con autorizzazioni collettive assegnate a tutti gli utenti del gruppo.

Ad esempio, usare Microsoft Entra ID quando si dispone di un numero elevato di utenti a cui si vuole assegnare l'accesso in sola lettura e si desidera gestire tali autorizzazioni a livello di gruppo.

L'integrazione di Defender per IoT con Microsoft Entra ID supporta LDAP v3 e i tipi di autenticazione basati su LDAP seguenti:

• Autenticazione completa: i dettagli utente vengono recuperati dal server LDAP. Ad esempio, il nome, il cognome, la posta elettronica e le autorizzazioni utente.

• Utente attendibile: viene recuperata solo la password utente. Altri dettagli utente recuperati sono basati sugli utenti definiti nel sensore.

Per altre informazioni, vedi:

• Configurare una connessione Active Directory
• Altre regole del firewall per i servizi esterni (facoltativo).

Single Sign-On per l'accesso alla console del sensore

È possibile configurare l'accesso Single Sign-On (SSO) per la console del sensore Defender per IoT usando Microsoft Entra ID. Con l'accesso Single Sign-On, gli utenti dell'organizzazione possono semplicemente accedere alla console del sensore e non necessitano di più credenziali di accesso in diversi sensori e siti. Per altre informazioni, vedere Configurare l'accesso Single Sign-On per la console del sensore.

Gruppi di accesso globale locali

Le organizzazioni di grandi dimensioni hanno spesso un modello di autorizzazioni utente complesso basato su strutture organizzative globali. Per gestire gli utenti locali di Defender per IoT, usare una topologia aziendale globale basata su business unit, aree e siti e quindi definire le autorizzazioni di accesso utente per tali entità.

Creare gruppi di accesso utente per stabilire il controllo di accesso globale tra le risorse locali di Defender per IoT. Ogni gruppo di accesso include regole sugli utenti che possono accedere a entità specifiche nella topologia aziendale, incluse business unit, aree e siti.

Ad esempio, il diagramma seguente mostra come consentire agli analisti della sicurezza di un gruppo Di Active Directory di accedere a tutte le linee di produzione automobilistiche e di vetro dell'Europa occidentale, insieme a una linea di plastica in un'unica area:

Per altre informazioni, vedere Definire l'autorizzazione di accesso globale per gli utenti locali.

Suggerimento

I gruppi di accesso e le regole consentono di implementare strategie Zero Trust controllando dove gli utenti gestiscono e analizzano i dispositivi nei sensori Defender per IoT e nella console di gestione locale. Per altre informazioni, vedere Zero Trust e le reti OT/IoT.

Passaggi successivi

• Gestire gli utenti della sottoscrizione di Azure
• Creare e gestire gli utenti in un sensore di rete OT
• Creare e gestire utenti in una console di gestione locale

Per altre informazioni, vedi:

• Ruoli utente e autorizzazioni di Azure per Defender per IoT
• Utenti e ruoli locali per il monitoraggio OT con Defender per IoT