IoT Central-beveiligingshandleiding

  • Artikel

Met een IoT Central-toepassing kunt u uw apparaten bewaken en beheren, zodat u uw IoT-scenario snel kunt evalueren. Deze handleiding is bedoeld voor beheerders die de beveiliging in IoT Central-toepassingen beheren.

In IoT Central kunt u beveiliging configureren en beheren op de volgende gebieden:

  • Gebruikerstoegang tot uw toepassing.
  • Apparaattoegang tot uw toepassing.
  • Programmatische toegang tot uw toepassing.
  • Verificatie voor andere services vanuit uw toepassing.
  • Gebruik een beveiligd virtueel netwerk.
  • Auditlogboeken volgen activiteit in de toepassing.

Gebruikerstoegang beheren

Elke gebruiker moet een gebruikersaccount hebben voordat ze zich kunnen aanmelden en toegang kunnen krijgen tot een IoT Central-toepassing. IoT Central ondersteunt momenteel Microsoft-accounts en Microsoft Entra-accounts, maar niet Microsoft Entra-groepen.

Met rollen kunt u bepalen wie binnen uw organisatie verschillende taken mag uitvoeren in IoT Central. Elke rol heeft een specifieke set machtigingen die bepalen wat een gebruiker in de rol kan zien en doen in de toepassing. Er zijn drie ingebouwde rollen die u kunt toewijzen aan gebruikers van uw toepassing. U kunt ook aangepaste rollen met specifieke machtigingen maken als u een nauwkeuriger besturingselement nodig hebt.

Met organisaties kunt u een hiërarchie definiëren die u gebruikt om te beheren welke gebruikers kunnen zien welke apparaten in uw IoT Central-toepassing zijn. De rol van de gebruiker bepaalt de machtigingen voor de apparaten die ze zien en de ervaringen die ze kunnen openen. Organisaties gebruiken om een toepassing met meerdere tenants te implementeren.

Raadpleeg voor meer informatie:

Apparaattoegang beheren

Apparaten worden geverifieerd met de IoT Central-toepassing met behulp van een SAS-token (Shared Access Signature) of een X.509-certificaat. X.509-certificaten worden aanbevolen in productieomgevingen.

In IoT Central gebruikt u apparaatverbindingsgroepen om de opties voor apparaatverificatie in uw IoT Central-toepassing te beheren.

Raadpleeg voor meer informatie:

Netwerkbesturingselementen voor apparaattoegang

Apparaten maken standaard verbinding met IoT Central via het openbare internet. Voor meer beveiliging verbindt u uw apparaten met uw IoT Central-toepassing met behulp van een privé-eindpunt in een virtueel Azure-netwerk.

Privé-eindpunten gebruiken privé-IP-adressen van een virtueel netwerkadresruimte om uw apparaten privé te verbinden met uw IoT Central-toepassing. Netwerkverkeer tussen apparaten in het virtuele netwerk en het IoT-platform doorkruist het virtuele netwerk en een privékoppeling op het Backbone-netwerk van Microsoft, waardoor blootstelling op het openbare internet wordt geëlimineerd.

Zie Netwerkbeveiliging voor IoT Central met behulp van privé-eindpunten voor meer informatie.

Programmatische toegang beheren

Met de REST API van IoT Central kunt u clienttoepassingen ontwikkelen die kunnen worden geïntegreerd met IoT Central-toepassingen. Gebruik de REST API om te werken met resources in uw IoT Central-toepassing, zoals apparaatsjablonen, apparaten, taken, gebruikers en rollen.

Voor elke Rest API-aanroep van IoT Central is een autorisatieheader vereist die door IoT Central wordt gebruikt om de identiteit van de aanroeper te bepalen en de machtigingen die aanroeper worden verleend in de toepassing.

Als u toegang wilt krijgen tot een IoT Central-toepassing met behulp van de REST API, kunt u een:

  • Microsoft Entra bearer-token. Een bearer-token is gekoppeld aan een Microsoft Entra-gebruikersaccount of een service-principal. Het token verleent de aanroeper dezelfde machtigingen die de gebruiker of service-principal heeft in de IoT Central-toepassing.
  • IoT Central API-token. Een API-token is gekoppeld aan een rol in uw IoT Central-toepassing.

Zie IoT Central REST API-aanroepen verifiëren en autoriseren voor meer informatie.

Verifiëren bij andere services

Wanneer u een continue gegevensexport vanuit uw IoT Central-toepassing configureert naar Azure Blob Storage, Azure Service Bus of Azure Event Hubs, kunt u een verbindingsreeks of een beheerde identiteit gebruiken om te verifiëren. Wanneer u een continue gegevensexport vanuit uw IoT Central-toepassing naar Azure Data Explorer configureert, kunt u een service-principal of een beheerde identiteit gebruiken om te verifiëren.

Beheerde identiteiten zijn veiliger omdat:

  • U slaat de referenties voor uw resource niet op in een verbindingsreeks in uw IoT Central-toepassing.
  • De referenties worden automatisch gekoppeld aan de levensduur van uw IoT Central-toepassing.
  • Beheerde identiteiten draaien hun beveiligingssleutels automatisch regelmatig.

Raadpleeg voor meer informatie:

Verbinding maken naar een bestemming in een beveiligd virtueel netwerk

Met gegevensexport in IoT Central kunt u apparaatgegevens continu streamen naar bestemmingen zoals Azure Blob Storage, Azure Event Hubs, Azure Service Bus Messaging. U kunt ervoor kiezen om deze bestemmingen te vergrendelen met behulp van een virtueel Azure-netwerk en privé-eindpunten. Als u wilt dat IoT Central verbinding maakt met een bestemming in een beveiligd virtueel netwerk, configureert u een firewall-uitzondering. Zie Gegevens exporteren naar een beveiligde bestemming in een virtueel Azure-netwerk voor meer informatie.

Auditlogboeken

Met auditlogboeken kunnen beheerders activiteiten in uw IoT Central-toepassing bijhouden. Beheer istrators kunnen zien wie welke wijzigingen heeft aangebracht op welke momenten. Zie Auditlogboeken gebruiken om activiteiten in uw IoT Central-toepassing bij te houden voor meer informatie.

Volgende stappen

Nu u hebt geleerd over beveiliging in uw Azure IoT Central-toepassing, is de voorgestelde volgende stap informatie over het beheren van gebruikers en rollen in Azure IoT Central.