IoT Central 安全性指南

IoT Central 應用程式可讓您監視和管理裝置，讓您快速評估IoT案例。 本指南適用於管理IoT Central 應用程式中安全性的系統管理員。

在 IoT Central 中，您可以在下列區域中設定和管理安全性：

• 使用者對應用程式的存取。
• 裝置對應用程式的存取。
• 以程式設計方式對應用程式的存取。
• 從您應用程式向其他服務的驗證。
• 使用安全的虛擬網路。
• 稽核記錄會追蹤應用程式中的活動。

管理使用者存取

每個用戶都必須有用戶帳戶，才能登入和存取IoT Central應用程式。 IoT Central 目前支援 Microsoft 帳戶和 Microsoft Entra 帳戶，但不支援 Microsoft Entra 群組。

角色 可讓您控制組織內允許誰在IoT Central中執行各種工作。 每個角色都有一組特定的許可權，可決定角色中的使用者可在應用程式中查看和執行哪些動作。 您可以指派給應用程式使用者的三個內建角色。 如果您需要更精細的控制，您也可以建立具有特定許可權的自定義角色。

組織 可讓您定義階層，讓您用來管理哪些使用者可以看到IoT Central應用程式中哪些裝置。 使用者的角色會決定他們對所看到裝置的許可權，以及他們可存取的體驗。 使用組織來實作多租用戶應用程式。

若要深入了解，請參閱：

• 管理 IoT Central 應用程式中的使用者和角色
• 管理 IoT Central 組織 (部分機器翻譯)
• 如何使用 IoT Central REST API 來管理使用者和角色
• 如何使用IoT Central REST API來管理組織

管理裝置存取

裝置會使用 共用存取簽章 （SAS） 令牌 或 X.509 憑證，向 IoT Central 應用程式進行驗證。 生產環境中建議使用 X.509 憑證。

在 IoT Central 中，您會使用 裝置連線群組 來管理 IoT Central 應用程式中的裝置驗證選項。

若要深入了解，請參閱：

• IoT Central 中的裝置驗證概念
• 如何將具有 X.509 憑證的裝置連線到 IoT Central 應用程式

裝置存取的網路控制

根據預設，裝置會透過公用因特網連線到IoT Central。 如需更多安全性，請使用 Azure 虛擬網絡 中的私人端點，將您的裝置連線到 IoT Central 應用程式。

私人端點會使用虛擬網路位址空間中的私人IP位址，私下將裝置連線到IoT Central應用程式。 虛擬網路上裝置與IoT平臺之間的網路流量會周遊虛擬網路和 Microsoft 骨幹網路上的私人連結，而不需要公開因特網。

若要深入瞭解，請參閱 使用私人端點的 IoT Central 網路安全性。

管理程式設計存取

IoT Central REST API 可讓您開發與 IoT Central 應用程式整合的用戶端應用程式。 使用 REST API 來處理 IoT Central 應用程式中的資源，例如裝置範本、裝置、作業、使用者和角色。

每個 IoT Central REST API 呼叫都需要 IoT Central 用來判斷呼叫者的身分識別，以及呼叫者在應用程式內授與許可權的授權標頭。

若要使用 REST API 存取 IoT Central 應用程式，您可以使用：

• Microsoft Entra 持有人令牌。 持有人令牌與 Microsoft Entra 使用者帳戶或服務主體相關聯。 令牌會將用戶或服務主體在IoT Central應用程式中擁有的相同許可權授與呼叫端。
• IoT Central API 令牌。 API 令牌會與IoT Central 應用程式中的角色相關聯。

若要深入瞭解，請參閱 如何驗證和授權IoT Central REST API呼叫。

向其他服務進行驗證

當您設定從IoT Central 應用程式連續資料匯出至 Azure Blob 記憶體、Azure 服務匯流排 或 Azure 事件中樞 時，您可以使用 連接字串 或受控識別進行驗證。 當您設定從 IoT Central 應用程式匯出至 Azure 數據總管的連續資料時，您可以使用服務主體或受控識別進行驗證。

受控識別更安全，因為：

• 您不會將資源的認證儲存在 IoT Central 應用程式中 連接字串。
• 認證會自動系結至IoT Central 應用程式的存留期。
• 受控識別會定期自動輪替其安全性密鑰。

若要深入了解，請參閱：

• 使用 Blob 記憶體將 IoT 資料匯出至雲端目的地
• 設定受控識別

連線 安全虛擬網路上的目的地

IoT Central 中的數據匯出可讓您持續將裝置數據串流至目的地，例如 Azure Blob 儲存體、Azure 事件中樞、Azure 服務匯流排 傳訊。 您可以選擇使用 Azure 虛擬網絡 和私人端點來鎖定這些目的地。 若要讓IoT Central線上到安全虛擬網路上的目的地，請設定防火牆例外狀況。 若要深入瞭解，請參閱將數據導出至 Azure 虛擬網絡 上的安全目的地。

稽核記錄

稽核記錄可讓系統管理員追蹤IoT Central應用程式內的活動。 管理員 istrators 可以看到誰在什麼時間做了哪些變更。 若要深入瞭解，請參閱 使用稽核記錄來追蹤IoT Central應用程式中的活動。

下一步

既然您已瞭解 Azure IoT Central 應用程式中的安全性，建議的下一個步驟是瞭解在 Azure IoT Central 中管理使用者和角色 。