Azure portal でユーザーを管理する
Microsoft Defender for IoT では、Defender for IoT リソースへのユーザー アクセスを管理するためのツールを Azure portal とオンプレミスの両方で提供しています。
Azure portal では、ユーザーは Microsoft Entra ID と Azure のロールベースのアクセス制御 (RBAC) を使って "サブスクリプション" レベルで管理されます。 Microsoft Entra ユーザーにサブスクリプション レベルで Azure ロールを割り当てることで、ユーザーが Defender for IoT 料金プランを追加または更新したり、デバイス データにアクセスしたり、センサーを管理したり、Defender for IoT 全体でデバイス データにアクセスしたりできるようになります。
OT ネットワーク監視の場合、Defender for IoT には追加の "サイト" レベルがあり、これを使用してユーザー管理に細分性を追加できます。 たとえば、サイトによって異なるアクセス許可を同じユーザーに適用するために、サイト レベルでロールを割り当てます。
注意
サイトベースのアクセス制御は現在プレビューの段階です。 Microsoft Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはその他のまだ一般提供されていない Azure 機能に適用される他の法律条項が含まれています。
サブスクリプションごとに Defender for IoT の Azure ユーザーを定義する
Azure RBAC を使用して Defender for IoT のユーザー アクセスを管理し、必要な機能にアクセスするために、必要に応じてユーザーまたはユーザー グループにロールを適用します。
- Azure portal を使用して Azure リソースへのアクセス権をユーザーに付与する
- Azure PowerShell を使用して Azure リソースへのアクセス権をグループに付与する
- OT および Enterprise IoT 監視のための Azure ユーザー ロール
サイトベースのアクセス制御を管理する (パブリック プレビュー)
Azure アクセス ポリシーに細分性のレベルを追加するためのゼロ トラストセキュリティ戦略の一環として、Defender for IoT サイトごとに指定したアクセス許可を定義します。 Defender for IoT サイトには、一般に、特定の地理的な場所にグループ化された多くのデバイス (特定の住所にあるオフィス ビル内のデバイスなど) が反映されます。
サイトベースのアクセス制御アクティビティを使用すると、次の詳細を確認することもできます。
- 自分自身、他のユーザー、グループ、サービス プリンシパル、またはマネージド ID によるサイトへのアクセスを確認する
- サイトでの現在のロール割り当てを、サイトで特定のアクションが拒否されたロール割り当ても含めて表示する
- サイトで使用できるロールの完全な一覧を表示する
注意
サイトとサイトベースのアクセス制御は OT 監視サイトにのみ関連し、既定のサイトや Enterprise IoT 監視ではサポートされていません。
サイトベースのアクセス制御を管理するには:
Azure portal で、[Defender for IoT]>[サイトとセンサー] ページに移動し、アクセス許可を割り当てる OT サイトを選択します。
右側に表示される [サイトの編集] ペインで、[サイト アクセス制御の管理 (プレビュー)] を選択します。 次に例を示します。
サイトの Defender for IoT で [アクセス制御] ページが開きます。 この [アクセス制御] ページは、任意の Azure リソースの [アクセス制御] タブから直接使用できるものと同じインターフェイスです。
次に例を示します。
詳細については、以下を参照してください:
- Defender for IoT の Azure ユーザー ロールとアクセス許可
- Azure portal を使用して Azure リソースへのアクセス権をユーザーに付与する
- Azure portal を使用して Azure でのロールの割り当てを一覧表示する
- Azure リソースに対するユーザーのアクセス権を確認する
次のステップ
詳細については、次を参照してください。