Definizioni predefinite di Criteri di Azure per l'hub IoT di Azure
Per il codice di esempio dell'hub IoT che illustra come implementare gli scenari IoT comuni, vedere gli argomenti di avvio rapido dell'hub IoT. Sono disponibili argomenti di avvio rapido per più linguaggi di programmazione, tra cui C, Node.js e Python.
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per l'hub IoT di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Hub IoT di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: hub IoT di Azure deve usare la chiave gestita dal cliente per crittografare i dati inattivi | La crittografia dei dati inattivi in hub IoT con la chiave gestita dal cliente aggiunge un secondo livello di crittografia oltre alle chiavi gestite dal servizio predefinite, consente al cliente di controllare le chiavi, i criteri di rotazione personalizzati e la possibilità di gestire l'accesso ai dati tramite il controllo di accesso delle chiavi. Le chiavi gestite dal cliente devono essere configurate durante la creazione di hub IoT. Per altre informazioni su come configurare le chiavi gestite dal cliente, vedere https://aka.ms/iotcmk. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: hub IoT i dati del servizio device provisioning devono essere crittografati usando chiavi gestite dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del servizio di provisioning dei dispositivi hub IoT. I dati vengono crittografati automaticamente inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente (CMK) sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
| hub IoT di Azure devono essere disabilitati i metodi di autenticazione locale per le API del servizio | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che hub IoT di Azure richieda esclusivamente identità di Azure Active Directory per l'autenticazione dell'API del servizio. Per altre informazioni, vedere https://aka.ms/iothubdisablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Configurare hub IoT di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che i hub IoT di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/iothubdisablelocalauth. | Modificare, Disabilitata | 1.0.0 |
| Configurare hub IoT istanze del servizio device provisioning per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'istanza di provisioning di dispositivi hub IoT in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/iotdpsvnet. | Modificare, Disabilitata | 1.0.0 |
| Configurare hub IoT istanze del servizio device provisioning con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati a hub IoT servizio device provisioning, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci - Configurare hub IoT di Azure con endpoint privati | Un endpoint privato è un indirizzo IP privato allocato all'interno di una rete virtuale di proprietà del cliente tramite cui una risorsa di Azure è raggiungibile. Questo criterio distribuisce un endpoint privato per l'hub IoT per consentire ai servizi all'interno della rete virtuale di raggiungere hub IoT senza richiedere l'invio del traffico all'endpoint pubblico di hub IoT. | DeployIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per hub IoT (microsoft.devices/iothubs) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per hub IoT (microsoft.devices/iothubs) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per hub IoT (microsoft.devices/iothubs) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.devices/provisioningservices in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.devices/provisioningservices in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.devices/provisioningservices per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.devices/provisioningservices. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| hub IoT istanze del servizio device provisioning devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che hub IoT'istanza del servizio device provisioning non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle istanze di hub IoT device provisioning. Per altre informazioni, vedere https://aka.ms/iotdpsvnet. | Audit, Deny, Disabled | 1.0.0 |
| hub IoT istanze del servizio device provisioning devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Modifica - Configurare hub IoT di Azure per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'hub IoT di Azure sia accessibile solo da un endpoint privato. Questo criterio disabilita l'accesso alla rete pubblica nelle risorse hub IoT. | Modificare, Disabilitata | 1.0.0 |
| L'endpoint privato deve essere abilitato per hub IoT | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alle hub IoT. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | Audit, Disabled | 1.0.0 |
| L'accesso alla rete pubblica in hub IoT di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'hub IoT di Azure sia accessibile solo da un endpoint privato. | Audit, Deny, Disabled | 1.0.0 |
| I log delle risorse in hub IoT devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 3.1.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.