Guide de sécurité IoT Central
Une application IoT Central vous permet de surveiller et de gérer vos appareils, ce qui vous permet d’évaluer rapidement votre scénario IoT. Ce guide est destiné aux administrateurs qui gèrent la sécurité dans des applications IoT Central.
Dans IoT Central, vous pouvez configurer et gérer la sécurité dans les domaines suivants :
- Accès utilisateur à votre application.
- Accès des appareils à votre application.
- Accès par programmation à votre application.
- Authentification auprès d’autres services de votre application.
- Utilisez un réseau virtuel sécurisé.
- Les journaux d’audit suivent l’activité dans l’application.
Gérer l’accès des utilisateurs
Chaque utilisateur doit avoir un compte d’utilisateur pour pouvoir se connecter et accéder à une application IoT Central. IoT Central prend actuellement en charge les comptes Microsoft et les comptes Microsoft Entra, mais pas les groupes Microsoft Entra.
Les rôles vous permettent de contrôler qui, au sein de votre organisation, peut effectuer différentes tâches dans IoT Central. Chaque rôle a un ensemble spécifique d’autorisations qui déterminent ce qu’un utilisateur disposant du rôle peut voir et faire dans l’application. Vous pouvez attribuer trois rôles intégrés aux utilisateurs de votre application. Vous pouvez également créer des rôles personnalisés avec des autorisations spécifiques si vous avez besoin d’un contrôle plus fin.
Les organisations vous permettent de définir une hiérarchie que vous utilisez pour gérer quels utilisateurs peuvent voir quels appareils dans votre application IoT Central. Le rôle de l’utilisateur détermine ses autorisations sur les appareils qu’il voit et les expériences auxquelles il peut accéder. Utilisez des organisations pour implémenter une application mutualisée.
Pour plus d'informations, consultez les rubriques suivantes :
- Gérer les utilisateurs et rôles dans votre application Azure IoT Central
- Gérer des organisations IoT Central
- Comment utiliser l’API REST IoT Central pour gérer les utilisateurs et les rôles
- Comment utiliser l’API REST IoT Central pour gérer les organisations
Gérer l’accès aux appareils
Les appareils s’authentifient auprès de l’application IoT Central en utilisant un jeton de signature d’accès partagé (SAP) ou un certificat X.509. Les certificats X.509 sont recommandés dans les environnements de production.
Dans IoT Central, vous utilisez des groupes de connexions d’appareils pour gérer les options d’authentification des appareils dans votre application IoT Central.
Pour plus d'informations, consultez les rubriques suivantes :
- Concepts d’authentification des appareils dans IoT Central
- Guide pratique pour connecter des appareils avec des certificats X.509 à une application IoT Central
Contrôles réseau pour l’accès des appareils
Par défaut, les appareils se connectent à IoT Central via l’Internet public. Pour plus de sécurité, connectez vos appareils à votre application IoT Central à l’aide d’un point de terminaison privé dans un Réseau virtuel Azure.
Les points de terminaison privés utilisent des adresses IP privées d’un espace d’adressage de réseau virtuel pour connecter vos appareils en privé à votre application IoT Central. Le trafic réseau entre les appareils figurant sur le réseau virtuel et la plateforme IoT traverse le réseau virtuel et une liaison privée sur le réseau principal de Microsoft, ce qui élimine toute exposition sur l’Internet public.
Pour en savoir plus, consultez Sécurité réseau pour IoT Central à l’aide de points de terminaison privés.
Gérer l’accès par programmation
L’API REST IoT Central vous permet de développer des applications clientes qui s’intègrent à des applications IoT Central. Utilisez l’API REST pour utiliser les ressources de votre application IoT Central, telles que les modèles d’appareils, les appareils, les travaux, les utilisateurs et les rôles.
Chaque appel d’API REST IoT Central nécessite un en-tête d’autorisation dont se sert IoT Central pour déterminer l’identité de l’appelant et les autorisations qui lui ont été accordées dans l’application.
Pour accéder à une application IoT Central à l’aide de l’API REST, vous pouvez utiliser :
- Jeton du porteur Microsoft Entra. Un jeton du porteur est associé à un compte d’utilisateur ou un principal de service Microsoft Entra. Le jeton accorde à l’appelant les mêmes autorisations que celles dont l’utilisateur ou le principal de service dispose dans l’application IoT Central.
- Un jeton d’API IoT Central. Un jeton d’API est associé à un rôle dans votre application IoT Central.
Pour plus d’informations, consultez Comment authentifier et autoriser les appels d’API REST d’IoT Central.
S’authentifier auprès d’autres services
Lorsque vous configurez une exportation de données continue à partir de votre application IoT Central vers Stockage Blob Azure, Azure Service Bus ou Azure Event Hubs, vous pouvez utiliser une chaîne de connexion ou une identité managée pour vous authentifier. Lorsque vous configurez une exportation de données continue à partir de votre application IoT Central vers Azure Data Explorer, vous pouvez utiliser un principal de service ou une identité managée pour vous authentifier.
Les identités managées sont plus sécurisées, car :
- Vous ne stockez pas les informations d’identification de votre ressource dans une chaîne de connexion de votre application IoT Central.
- Les informations d’identification sont automatiquement liées à la durée de vie de votre application IoT Central.
- Les identités managées effectuent automatiquement une rotation régulière de leurs clés de sécurité.
Pour plus d'informations, consultez les rubriques suivantes :
- Exporter des données IoT vers des destinations cloud à l’aide des fonctionnalités de stockage Blob
- Configurer une identité managée
Se connecter à une destination sur un réseau virtuel sécurisé
L’exportation de données dans IoT Central vous permet de diffuser en continu des données d’appareil vers des destinations comme Stockage Blob Azure, Azure Event Hubs, Azure Service Bus Messaging. Vous pouvez choisir de verrouiller ces destinations à l’aide d’un réseau virtuel Azure et de points de terminaison privés. Pour permettre à IoT Central de se connecter à une destination sur un réseau virtuel sécurisé, configurez une exception de pare-feu. Pour plus d’informations, consultez Exporter des données vers une destination sécurisée sur un Réseau virtuel Azure.
Journaux d’audit
Les journaux d’audit permettent aux administrateurs de suivre l’activité au sein de votre application IoT Central. Les administrateurs peuvent voir qui a apporté des modifications et à quelle heure. Pour plus d’informations, consultez Utiliser les journaux d’audit pour suivre l’activité dans votre application IoT Central.
Étapes suivantes
Maintenant que vous avez découvert les principes de base de la sécurité dans votre application Azure IoT Central, nous vous recommandons d’en apprendre davantage sur la gestion des utilisateurs et des rôles dans Azure IoT Central.