IoT Central 安全指南

使用 IoT Central 应用程序可以监视和管理设备，从而快速评估 IoT 方案。 本指南适用于在 IoT Central 应用程序中管理安全性的管理员。

在 IoT Central 中，可以在以下方面配置和管理安全性：

• 用户访问您的应用程序。
• 设备对你的应用程序的访问。
• 以编程方式访问应用程序。
• 从应用程序向其他服务进行身份验证。
• 使用安全虚拟网络。
• 审核日志跟踪应用程序中的活动。

管理用户访问权限

每个用户必须拥有一个用户帐户，然后才能登录和访问 IoT Central 应用程序。 IoT Central 目前支持Microsoft帐户和Microsoft Entra 帐户，但不支持Microsoft Entra 组。

通过角色 ，可以控制组织内允许谁在 IoT Central 中执行各种任务。 每个角色都有一组特定的权限，用于确定角色中的用户可在应用程序中查看和执行哪些作。 有三个内置角色可以分配给应用程序的用户。 如果需要更精细的控制，还可以创建具有特定权限的自定义角色。

组织 允许你定义用于管理哪些用户可以在 IoT Central 应用程序中查看哪些设备的层次结构。 用户的角色确定他们对他们看到的设备的权限，以及他们可以访问的体验。 使用组织实现多租户应用程序。

若要了解详细信息，请参阅：

• 在 IoT Central 应用程序中管理用户和角色
• 管理 IoT Central 组织
• 如何使用 IoT Central REST API 管理用户和角色
• 如何使用 IoT Central REST API 管理组织

管理设备访问

设备使用 共享访问签名（SAS）令牌 或 X.509 证书向 IoT Central 应用程序进行身份验证。 建议在生产环境中使用 X.509 证书。

在 IoT Central 中，使用 设备连接组 来管理 IoT Central 应用程序中的设备身份验证选项。

若要了解详细信息，请参阅：

• IoT Central 中的设备身份验证概念
• 如何将具有 X.509 证书的设备连接到 IoT Central 应用程序

设备访问的网络控制

默认情况下，设备通过公共 Internet 连接到 IoT Central。 为了获得更多安全性，请使用 Azure 虚拟网络中的 专用终结点 将设备连接到 IoT Central 应用程序。

专用终结点使用虚拟网络地址空间中的专用 IP 地址以私密方式将您的设备连接到 IoT Central 应用程序。 虚拟网络上的设备与 IoT 平台之间的网络流量通过虚拟网络和 Microsoft 主干网络上的专用链接，从而避免在公共 Internet 上暴露。

若要了解详细信息，请参阅 使用专用终结点的 IoT Central 网络安全。

管理程序化访问

借助 IoT Central REST API，可以开发与 IoT Central 应用程序集成的客户端应用程序。 使用 REST API 处理 IoT Central 应用程序中的资源，例如设备模板、设备、作业、用户和角色。

每个 IoT Central REST API 调用需要一个授权标头，IoT Central 利用该标头来识别调用者的身份和其在应用程序中被授予的权限。

若要使用 REST API 访问 IoT Central 应用程序，可以使用：

• Microsoft Entra 持有者令牌。 持有者令牌与 Microsoft Entra 用户帐户或服务主体相关联。 令牌向调用方授予 IoT Central 应用程序中用户或服务主体所拥有的相同权限。
• IoT Central API 令牌。 API 令牌与 IoT Central 应用程序中的角色相关联。

若要了解详细信息，请参阅 如何对 IoT Central REST API 调用进行身份验证和授权。

向其他服务进行身份验证

配置从 IoT Central 应用程序到 Azure Blob 存储、Azure 服务总线或 Azure 事件中心的连续数据导出时，可以使用连接字符串或托管标识进行身份验证。 将连续数据从 IoT Central 应用程序导出到 Azure 数据资源管理器时，可以使用服务主体或托管标识进行身份验证。

托管身份更安全，因为：

• 不会将资源的凭据存储在 IoT Central 应用程序中的连接字符串中。
• 凭据会自动与 IoT Central 应用程序的生存期绑定在一起。
• 托管标识会定期自动轮换其安全密钥。

若要了解详细信息，请参阅：

• 将 IoT 数据导出到 Blob 存储
• 配置托管标识

连接到一个位于安全虚拟网络内的目标

通过 IoT Central 中的数据导出，可以持续将设备数据流式传输到 Azure Blob 存储、Azure 事件中心、Azure 服务总线消息传送等目标。 可以选择使用 Azure 虚拟网络和专用终结点锁定这些目标。 若要使 IoT Central 能够连接到安全虚拟网络上的目标，请配置防火墙例外。 若要了解详细信息，请参阅 将数据导出到 Azure 虚拟网络上的安全目标。

审核日志

审核日志允许管理员跟踪 IoT Central 应用程序中的活动。 管理员可以查看谁在什么时间做了哪些更改。 若要了解详细信息，请参阅 使用审核日志跟踪 IoT Central 应用程序中的活动。

后续步骤

了解 Azure IoT Central 应用程序中的安全性后，建议的下一步是了解如何 在 IoT Central 应用程序中管理用户和角色。