オンプレミスの管理コンソールで OT サイトとゾーンを作成する (レガシ)
重要
Defender for IoT では、Microsoft クラウド サービスまたは既存の IT インフラストラクチャを使用して一元的な監視とセンサー管理を行うことを推奨し、2025 年 1 月 1 日にオンプレミスの管理コンソールを廃止する予定です。
詳細については、「ハイブリッドまたはエアギャップ OT センサー管理のデプロイ」を参照してください。
この記事は、エアギャップ OT センサー用の Microsoft Defender for IoT オンプレミス管理コンソールのデプロイ パスについて説明するシリーズ記事の 1 つです。
この記事では、OT 環境全体で識別したネットワーク セグメントに基づいて、オンプレミス管理コンソールでサイトとゾーンを作成する方法について説明します。
サイトおよびゾーンによるネットワークのセグメント化は、ゼロ トラスト セキュリティ戦略を実装する上で不可欠な作業であり、特定のサイトとゾーンにセンサーを割り当てることで、承認されていないトラフィックがセグメントを通過するのを監視できます。
同じサイトまたはゾーン内のセンサーから取り込まれたデータはまとめて表示でき、システム内の他のデータとは分けて表示されます。
同じサイトまたはゾーンにグループ化して表示したいセンサー データがある場合は、適宜、センサー サイトとゾーンを割り当てるようにしてください。
オンプレミス管理コンソールでは、"部署" と "リージョン" の追加レイヤーがネットワークのセグメント化に追加され、ネットワーク全体のすべての部署、リージョン、サイト、ゾーンを表示する対話型のグローバル マップも提供されます。
注意
オンプレミス管理コンソールで作成されたサイトおよびゾーンは、OT センサーのオンボード時に Azure portal で作成されたサイトおよびゾーンと同期されません。
前提条件
ネットワーク内での OT ネットワーク センサーの配置場所、およびネットワークをサイトとゾーンにセグメント化する方法について明確に理解しておくこと。
オンプレミス管理コンソールに接続されている OT センサー
グローバル マップをカスタマイズする (省略可能)
既定では、オンプレミス管理コンソールには、部署、リージョン、サイト、ゾーンを構築および監視するための空のワールド マップが表示されます。
たとえば、特定の国または地域や都市をより詳細に強調表示して、さらに拡大することができます。
既定のマップを独自のマップに変更する:
オンプレミスの管理コンソールにサインインし、[システム設定]>[サイト マップの変更] の順に選択します。
[サイト マップのアップロード] を選択し、代わりに使用する画像を参照して選択します。
部署を作成する
Defender for IoT の部署は、組織の部署を表します。 たとえば、会社が衣料品と旅行カバンの両方を製造している場合、衣料品 と 旅行カバンの 2 つの部署を作成できます。
オンプレミス管理コンソールにサインインし、[エンタープライズ ビュー] を選択します。
ツール バーで、[すべてのサイト]>[部署の管理] の順に選択します。
[部署の管理] ダイアログで、新しい部署の名前を入力し、[追加] を選択します。 次に例を示します。
作成する追加の部署すべてについてこの手順を繰り返します。
完了したら、[閉じる] を選択して変更を保存します。
リージョンを作成する
Defender for IoT のリージョンは、組織のオフィス、工場、またはネットワークに接続されているその他のサイトがあるグローバル リージョンを表します。
オンプレミス管理コンソールにサインインし、[エンタープライズ ビュー] を選択します。
ツール バーで、[すべてのリージョン]>[リージョンの管理] の順に選択します。
[リージョンの管理] ダイアログで、新しいリージョンの名前を入力し、[追加] を選択します。 たとえば、会社のオフィスが世界中にある場合、各グローバル リージョンを表すリージョンを作成できます。
作成する追加のサイトすべてについてこの手順を繰り返します。
完了したら、[閉じる] を選択して変更を保存します。
サイトを作成する
Defender for IoT の各サイトは、組織のオフィス、工場、またはネットワークに接続されているその他の建物やエリアがある物理的な場所を表します。
たとえば、同じ市内に複数のオフィスがある場合、オフィスごとに個別のサイトを作成します。
オンプレミス管理コンソールにサインインし、[エンタープライズ ビュー] を選択します。
右上にある [+ 新しいサイト] を選択し、マップ内の新しいサイトを定義する場所を選択します。
[新しいサイトの作成] ダイアログで、次の値を入力または選択します。
- [サイト名]: わかりやすいサイト名を入力します。
- [サイトの実際の住所]: サイトの場所の実際の住所を入力します。
- [部署]: 作成しているサイトで表される 1 つ以上の Defender for IoT の部署を選択します。
- [リージョン]: サイトを配置するリージョンを選択します。
次に例を示します。
[保存] を選択して変更を保存します。
作成するサイトごとに前の 2 つの手順を繰り返し、ネットワーク全体をカバーするようにマップを設定します。 次に例を示します。
ゾーンの作成
Defender for IoT の各ゾーンは、特定のサイト内の論理エンティティを表します。 たとえば、生産ライン、支所、またはデバイスの種類に対して個別のゾーンを作成できます。
前提条件: オンプレミス管理コンソールで少なくとも 1 つ以上の Defender for IoT のサイトが構成されていること。
オンプレミス管理コンソールにサインインし、[サイトの管理] を選択します。
各サイトで、右上隅にある [+ ゾーンの追加] を選択します。 次に例を示します。
[新しいゾーンの作成] ダイアログで、わかりやすいゾーン名とゾーンの説明を入力し、[保存] を選択します。
この手順を繰り返して、すべてのサイトのすべてのゾーンを作成します。
OT センサーをサイトとゾーンに割り当てる
OT センサーをオンプレミス管理コンソールに接続すると、それらのセンサーは、オンプレミス管理コンソールの [サイトの管理] ページに [未割り当てセンサー]として一覧表示されます。
次に例を示します。
またオンプレミス管理コンソールでサイトとゾーンを構成した場合は、検出されたデータをセグメント別に監視するためにセンサーをサイトとゾーンに割り当てます。
OT センサーをサイトとゾーンに割り当てる:
お使いのオンプレミスの管理コンソールにサインインし、[サイトの管理] を選択します。
[接続] 列で、センサーが現在オンプレミス管理コンソールに接続されていることを確認します。
ゾーンに割り当てるセンサーの [+ 割り当て] を選択します。 次に、[センサーの割り当て] ダイアログで、センサーを割り当てる部署、リージョン、サイト、ゾーンを選択します。
[割り当てる] を選択して割り当てを完了します。
更新されたセンサーの割り当てでページが更新されるまで少し時間がかかります。
センサーのゾーン割り当てを削除する:
お使いのオンプレミスの管理コンソールにサインインし、[サイトの管理] を選択します。
センサー割り当てを削除するセンサーを見つけます。 センサー行の右端にある [未割り当て]
ボタンを選択します。確認メッセージ ダイアログで、[確認] を選択します。
更新されたセンサーの割り当てでページが更新されるまで少し時間がかかります。
サイトとゾーンを管理する
ネットワークが拡大するに従って、OT センサーでさまざまなサイトとゾーンを監視することが必要になる場合があります。 ネットワークを定期的に確認し、必要に応じてセンサーのサイトとゾーンの割り当てを編集することをお勧めします。
サイトとゾーンを作成した後、オンプレミス管理コンソールの [エンタープライズ ビュー] ページと [サイトの管理] ページの両方でサイトとゾーンを表示、編集、または削除することができます。
- [エンタープライズ ビュー] マップでは、サイトを選択すると、そのすべてのゾーンが表示されます
- [サイトの管理] ページでは、各サイトを展開してゾーンを表示したり、折りたたんだりすることができます
サイトまたはゾーンを変更または削除するには、各サイトまたはゾーンのオプション メニューを選択します。 次に例を示します。
次のステップ
これで、オンプレミス管理コンソールのデプロイが完了しました。 詳細については、次を参照してください。