你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

IoT Central 安全指南

使用 IoT Central 应用程序可以监视和管理设备，从而快速评估 IoT 方案。 本指南适用于管理 IoT Central 应用程序中的安全性的管理员。

在 IoT Central 中，可以配置和管理以下领域的安全性：

• 用户对你的应用程序的访问。
• 设备对你的应用程序的访问。
• 以编程方式访问你的应用程序。
• 从你的应用程序进行其他服务的身份验证。
• 使用安全虚拟网络。
• 审核日志将跟踪应用程序中的活动。

管理用户访问权限

每个用户必须有一个用户帐户才能登录和访问 IoT Central 应用程序。 IoT Central 目前支持 Microsoft 帐户和 Microsoft Entra 帐户，但不支持 Microsoft Entra 组。

使用角色可以控制组织中的哪些人可以在 IoT Central 中执行各种任务。 每个角色都有特定的权限集，用于确定角色中的用户可以在应用程序中查看哪些内容以及执行哪些操作。 可将三种内置角色分配给应用程序的用户。 如果需要更精细的控制，还可以创建具有特定权限的自定义角色。

组织让你能够定义一个层次结构，用于管理哪些用户可以查看 IoT Central 应用程序中的哪些设备。 用户角色决定了他们对所查看设备的权限，以及他们可以访问的体验。 使用组织实现多租户应用程序。

若要了解更多信息，请参阅以下文章：

• 管理 IoT Central 应用程序中的用户和角色
• 管理 IoT Central 组织
• 如何使用 IoT Central REST API 管理用户和角色
• 如何使用 IoT Central REST API 来管理组织

管理对设备的访问

设备对 IoT Central 应用程序进行身份验证的方法是使用共享访问签名 (SAS) 令牌或 X.509 证书。 在生产环境中，建议使用 X.509 证书。

在 IoT Central 中，需要使用设备连接组管理 IoT Central 应用程序中的设备身份验证选项。

若要了解更多信息，请参阅以下文章：

• IoT Central 中的设备身份验证概念
• 如何使用 X.509 证书将设备连接到 IoT Central 应用程序

设备访问的网络控制

默认情况下，设备通过公共 Internet 连接到 IoT Central。 为了提供安全性，使用 Azure 虚拟网络中的专用终结点将设备连接到 IoT Central 应用程序。

专用终结点使用虚拟网络地址空间中的专用 IP 地址，将设备以私密方式连接到 IoT Central 应用程序。 虚拟网络和 IoT 平台上的设备之间的网络流量将穿过虚拟网络以及 Microsoft 主干网络上的专用链接，因此不会在公共 Internet 上公开。

若要了解详细信息，请参阅在 IoT Central 中使用专用终结点的网络安全。

管理以编程方式访问

通过 IoT Central REST API，你可以开发与 IoT Central 应用程序集成的客户端应用程序。 使用 REST API 可以处理 IoT Central 应用程序中的资源，例如设备模板、设备、作业、用户和角色。

每个 IoT Central REST API 调用都需要一个授权头，IoT Central 使用该授权头来确定调用方的标识，以及在应用程序中为该调用方授予的权限。

若要通过 REST API 访问 IoT Central 应用程序，可以使用：

• Microsoft Entra 持有者令牌。 持有者令牌与 Microsoft Entra 用户帐户或服务主体相关联。 该令牌为调用方授予用户或服务主体在 IoT Central 应用程序中所拥有的相同权限。
• IoT Central API 令牌。 API 令牌与 IoT Central 应用程序中的角色相关联。

有关详细信息，请参阅如何对 IoT Central REST API 调用进行身份验证和授权。

对其他服务进行身份验证

配置持续数据从 IoT Central 应用程序导出到 Azure Blob 存储、Azure 服务总线或 Azure 事件中心时，可以使用连接字符串或托管标识进行身份验证。 配置持续数据从 IoT Central 应用程序导出到 Azure 数据资源管理器时，可以使用服务主体或托管标识进行身份验证。

托管标识更安全，原因如下：

• 不会将资源的凭据存储在 IoT Central 应用程序中的连接字符串中。
• 凭据会自动与 IoT Central 应用程序的生存期相关联。
• 托管标识会定期自动轮换其安全密钥。

若要了解更多信息，请参阅以下文章：

• 使用 Blob 存储将 IoT 数据导出到云目标
• 配置托管标识

连接到安全虚拟网络上的目标

使用 IoT Central 中的数据导出，可以持续将设备数据流式传输到 Azure Blob 存储、Azure 事件中心、Azure 服务总线消息传送等目标。 可选择使用 Azure 虚拟网络和专用终结点锁定这些目标。 若要让 IoT Central 能够连接到安全虚拟网络上的目标，请配置防火墙例外。 若要了解详细信息，请参阅将数据导出到 Azure 虚拟网络上的安全目标。

审核日志

借助审核日志，管理员可以跟踪 IoT Central 应用程序中的活动。 管理员可以看到更改内容、更改时间以及做出更改的人员。 若要了解详细信息，请参阅使用审核日志跟踪 IoT Central 应用程序中的活动。

后续步骤

了解 Azure IoT Central 应用程序中的安全性后，建议接下来了解如何在 Azure IoT Central 中管理用户和角色。