你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Azure 门户中管理用户

Microsoft Defender for IoT 在 Azure 门户和本地均提供有工具，用于跨 Defender for IoT 资源管理用户访问权限。

在 Azure 门户，使用 Microsoft Entra ID 和 Azure 基于角色的访问控制 (RBAC) 在订阅级别管理用户。 在订阅级别为 Microsoft Entra 用户分配 Azure 角色，使其可以添加或更新 Defender for IoT 定价计划并访问设备数据、管理传感器以及访问 Defender for IoT 中的设备数据。

对于 OT 网络监视，Defender for IoT 具有额外的站点级别，可用于增加用户管理的粒度。 例如，在站点级别分配角色，以对不同站点的相同用户应用不同的权限。

注意

基于站点的访问控制目前仅提供预览版。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

为每个订阅定义 Defender for IoT 的 Azure 用户

使用 Azure RBAC 管理 Defender for IoT 的用户访问权限，并根据需要将角色应用于用户或用户组以使用所需的功能。

• 使用 Azure 门户授予用户对 Azure 资源的访问权限
• 使用 Azure PowerShell 授予组对 Azure 资源的访问权限
• 用于 OT 和企业 IoT 监视的 Azure 用户角色

管理基于站点的访问控制（公共预览版）

将每个 Defender for IoT 站点的指定权限定义为零信任安全策略的一部分，以向 Azure 访问策略添加粒度级别。 Defender for IoT 站点通常反映分组在特定地理位置的许多设备，例如位于特定地址的办公大楼中的设备。

基于站点的访问控制活动还允许检查以下详细信息：

• 检查自己对站点的访问权限，或检查其他用户、组、服务主体或托管标识对站点的访问权限
• 查看站点上的当前角色分配，包括已被拒绝授予给站点上特定操作的角色分配
• 查看站点可用角色的完整列表

注意

站点和基于站点的访问控制仅与 OT 监视站点相关，不受默认站点或企业 IoT 监视的支持。

管理基于站点的访问控制：

1. 在 Azure 门户中，转到“Defender for IoT”>“站点和传感器”页面，然后选择要在其中分配权限的 OT 站点。

2. 在右侧的“编辑站点”窗格中，选择“管理站点访问控制(预览版)”。 例如：

   

   此时，站点的 Defender for IoT 中会打开“访问控制”页面。 此“访问控制”页面是一个界面，可以从任何 Azure 资源的“访问控制”选项卡直接访问该界面。

   例如：

   

有关详细信息，请参阅：

• Defender for IoT 的 Azure 用户角色和权限
• 使用 Azure 门户授予用户对 Azure 资源的访问权限
• 使用 Azure 门户列出 Azure 角色分配
• 检查用户对 Azure 资源的访问权限

后续步骤

有关详细信息，请参阅：

• 使用 Defender for IoT 进行 OT 和企业 IoT 监视的 Azure 用户角色
• 创建和管理用于 OT 监视的本地用户
• 使用 Defender for IoT 进行 OT 监视的本地用户和角色