Användarhantering för Microsoft Defender för IoT

Microsoft Defender för IoT innehåller verktyg både i Azure-portalen och lokalt för att hantera användaråtkomst mellan Defender för IoT-resurser.

Azure-användare för Defender för IoT

I Azure-portalen hanteras användare på prenumerationsnivå med Microsoft Entra-ID och rollbaserad åtkomstkontroll (RBAC) i Azure. Azure-prenumerationsanvändare kan ha en eller flera användarroller som avgör vilka data och åtgärder de kan komma åt från Azure-portalen, inklusive i Defender för IoT.

Använd portalen eller PowerShell för att tilldela dina Azure-prenumerationsanvändare de specifika roller som de behöver för att visa data och vidta åtgärder, till exempel om de ska visa aviserings- eller enhetsdata eller hantera prisplaner och sensorer.

Mer information finns i Hantera användare på Azure-portalen och Azure-användarroller för OT- och Enterprise IoT-övervakning

Lokala användare för Defender för IoT

När du arbetar med OT-nätverk är Defender för IoT-tjänster och data tillgängliga även från lokala OT-nätverkssensorer och den lokala sensorhanteringskonsolen, utöver Azure-portalen.

Du måste definiera lokala användare på både dina OT-nätverkssensorer och den lokala hanteringskonsolen, utöver Azure. Både OT-sensorerna och den lokala hanteringskonsolen installeras med en uppsättning privilegierade standardanvändare som du kan använda för att definiera andra administratörer och användare.

Logga in på OT-sensorerna för att definiera sensoranvändare och logga in på den lokala hanteringskonsolen för att definiera lokala hanteringskonsolanvändare.

Mer information finns i Lokala användare och roller för OT-övervakning med Defender för IoT.

Microsoft Entra ID-stöd för sensorer och lokala hanteringskonsoler

Du kanske vill konfigurera en integrering mellan sensorn och Microsoft Entra-ID:t så att Microsoft Entra-ID-användare kan logga in på sensorn eller använda Microsoft Entra-ID-grupper med kollektiva behörigheter tilldelade till alla användare i gruppen.

Du kan till exempel använda Microsoft Entra-ID när du har ett stort antal användare som du vill tilldela skrivskyddad åtkomst till och du vill hantera dessa behörigheter på gruppnivå.

Defender for IoT:s integrering med Microsoft Entra ID stöder LDAP v3 och följande typer av LDAP-baserad autentisering:

• Fullständig autentisering: Användarinformation hämtas från LDAP-servern. Exempel är förnamn, efternamn, e-post och användarbehörigheter.

• Betrodd användare: Endast användarlösenordet hämtas. Annan användarinformation som hämtas baseras på användare som definierats i sensorn.

Mer information finns i:

• Konfigurera en Active Directory-anslutning
• Andra brandväggsregler för externa tjänster (valfritt).

Enkel inloggning för inloggning till sensorkonsolen

Du kan konfigurera enkel inloggning (SSO) för Defender for IoT-sensorkonsolen med hjälp av Microsoft Entra-ID. Med enkel inloggning kan organisationens användare helt enkelt logga in på sensorkonsolen och behöver inte flera inloggningsuppgifter för olika sensorer och webbplatser. Mer information finns i Konfigurera enkel inloggning för sensorkonsolen.

Lokala globala åtkomstgrupper

Stora organisationer har ofta en komplex användarbehörighetsmodell baserad på globala organisationsstrukturer. Om du vill hantera dina lokala Defender för IoT-användare använder du en global affärstopologi som baseras på affärsenheter, regioner och webbplatser och definierar sedan behörigheter för användaråtkomst runt dessa entiteter.

Skapa användaråtkomstgrupper för att upprätta global åtkomstkontroll över lokala IoT-resurser i Defender för IoT. Varje åtkomstgrupp innehåller regler om de användare som kan komma åt specifika entiteter i din affärstopologi, inklusive affärsenheter, regioner och webbplatser.

Följande diagram visar till exempel hur du kan tillåta säkerhetsanalytiker från en Active Directory-grupp att få åtkomst till alla produktionslinjer för västeuropeiska bilar och glas, tillsammans med en plastlinje i en region:

Mer information finns i Definiera global åtkomstbehörighet för lokala användare.

Dricks

Åtkomstgrupper och regler hjälper till att implementera Nolltillit strategier genom att styra var användarna hanterar och analyserar enheter på Defender för IoT-sensorer och den lokala hanteringskonsolen. Mer information finns i Nolltillit och dina OT/IoT-nätverk.

Nästa steg

• Hantera Azure-prenumerationsanvändare
• Skapa och hantera användare på en OT-nätverkssensor
• Skapa och hantera användare i en lokal hanteringskonsol

Mer information finns i:

• Azure-användarroller och behörigheter för Defender för IoT
• Lokala användare och roller för OT-övervakning med Defender för IoT