共用方式為


適用於 IoT 的 Microsoft Defender 使用者管理

適用於 IoT 的 Microsoft Defender 同時在 Azure 入口網站和內部部署中提供工具,以跨適用於 IoT 的 Defender 資源管理使用者存取。

適用於 IoT 的 Defender 的 Azure 使用者

在 Azure 入口網站中,會使用 Microsoft Entra IDAzure 角色型存取控制 (RBAC) 在訂用帳戶層級管理使用者。 Azure 訂用帳戶使用者可以擁有一或多個使用者角色,其會決定他們可以從 Azure 入口網站 (包括在適用於 IoT 的 Defender 中) 存取的資料和動作。

使用入口網站PowerShell 來指派 Azure 訂用帳戶使用者,使其具備檢視資料並採取動作所需的特定角色,例如要檢視警示或裝置資料,或管理價格方案和感應器。

如需詳細資訊,請參閱在 Azure 入口網站上管理使用者,以及適用於 OT 和企業 IoT 監視的 Azure 使用者角色

適用於 IoT 的 Defender 的內部部署使用者

使用 OT 網路時,除了 Azure 入口網站之外,適用於 IoT 的 Defender 服務和資料也可從內部部署 OT 網路感應器和內部部署感應器管理主控台取得。

除了 Azure 之外,您還需要在 OT 網路感應器和內部部署管理主控台上定義內部部署使用者。 OT 感應器和內部部署管理主控台都已安裝一組預設的特殊權限使用者,您可以用來定義其他系統管理員和使用者。

登入 OT 感應器以定義感應器使用者,然後登入內部部署管理主控台來定義內部部署管理主控台使用者

如需詳細資訊,請參閱使用適用於 IoT 的 Defender 進行 OT 監視的內部部署使用者和角色

感測器和內部部署管理控制臺上的 Microsoft Entra 識別碼支援

您可能想要設定感測器與 Microsoft Entra ID 之間的整合,以允許 Microsoft Entra ID 使用者登入您的感測器,或使用 Microsoft Entra ID 群組,並將集體許可權指派給群組中的所有使用者。

例如,當您有大量想要指派 只讀 存取權的使用者,而且您想要在群組層級管理這些許可權時,請使用 Microsoft Entra ID。

適用於 IoT 的 Defender 與 Microsoft Entra ID 整合支援 LDAP v3 和下列 LDAP 型驗證類型:

  • 完整驗證:使用者詳細資料是從 LDAP 伺服器擷取的。 範例為名字、姓氏、電子郵件和使用者權限。

  • 信任的使用者:只會擷取使用者密碼。 擷取的其他使用者詳細資料是以感應器中定義的使用者為基礎。

如需詳細資訊,請參閱

用於登入感測器主控台的單一登錄

您可以使用 Microsoft Entra ID 為適用於IoT的Defender感測器控制台設定單一登入 (SSO)。 透過 SSO,貴組織的使用者可以直接登入感測器控制台,而且不需要跨不同感測器和月臺的多個登入認證。 如需詳細資訊,請參閱 設定感測器主控台的單一登錄。

內部部署全域存取群組

大型組織通常具有以全域組織結構為基礎的複雜使用者權限模型。 若要管理您的適用於 IoT 的內部部署 Defender 使用者,請使用以業務單位、區域和網站為基礎的全域商務拓撲,然後定義圍繞這些實體的使用者存取權限。

建立使用者存取群組,以跨適用於 IoT 的 Defender 內部部署資源建立全域存取控制。 每個存取群組都包含可存取商務拓撲中 (包括業務單位、區域和網站) 特定實體的使用者相關規則。

例如,下表顯示您如何允許來自 Active Directory 群組的安全性分析師存取所有西歐汽車和玻璃生產線,以及某個區域的某條塑料生產線:

安全性分析師 Active Directory 群組的圖表。

如需詳細資訊,請參閱定義內部部署使用者的全域存取權限

提示

存取群組和規則透過控制使用者在適用於 IoT 的 Defender 感應器和內部部署管理主控台上管理和分析裝置的位置,協助實作零信任策略。 如需詳細資訊,請參閱零信任和您的 OT/IoT 網路

下一步

如需詳細資訊,請參閱