你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
部署空盖 OT 传感器管理(旧版)
重要
Defender for IoT 现在建议使用 Microsoft 云服务或现有的 IT 基础结构进行集中监视和传感器管理,并计划于 2025 年 1 月 1 日停用本地管理控制台。
有关详细信息,请参阅 部署混合或空隙 OT 传感器管理。
如果使用的多个实体隔离 OT 传感器不能通过 Azure 门户管理,则建议部署本地管理控制台来管理实体隔离 OT 传感器。
下图描述了部署本地管理控制台中包含的步骤。 查看后续章节,详细了解每个部署步骤,包括相关的交叉引用的详细信息。
部署本地管理控制台由部署团队完成。 可以在部署 OT 传感器之前或之后部署本地管理控制台,也可以并行部署。
部署步骤
| 步骤 | 说明 |
|---|---|
| 准备一台本地管理控制台设备 | 正如为 OT 传感器准备了一台本地设备一样,请为本地管理控制台准备一台设备。 若要为生产环境部署 CA 签名的证书,请确保也准备证书。 |
| 安装 Microsoft Defender for IoT 本地管理控制台软件 | 从 Azure 门户下载安装软件,并将其安装到本地管理控制台设备上。 |
| 激活和设置本地管理控制台 | 使用从 Azure 门户下载的激活文件激活本地管理控制台。 |
| 在本地管理控制台上创建 OT 站点和区域 | 如果进行的是大型实体隔离部署,建议在本地管理控制台上创建站点和区域,这样有助于监视各个网段中未经授权的流量,也是在部署 Microsoft Defender for IoT 时应遵循的一项零信任原则。 |
| 将 OT 网络传感器连接到本地管理控制台 | 将实体隔离 OT 传感器连接到本地管理控制台,以查看聚合数据并在所有连接的系统内配置进一步设置。 |
注意
Azure 门户上配置的站点和区域不会与本地管理控制台上配置的站点和区域同步。
如果你处理的是大型部署,我们建议使用 Azure 门户来管理连接到云的传感器,并使用本地管理控制台来管理本地管理的传感器。
可选配置
部署本地管理控制台时,可能还需要配置以下选项:
Active Directory 集成:允许 Active Directory 用户登录到本地管理控制台、使用 Active Directory 组和配置全局访问组。
从 OT 网络传感器进行代理隧道访问,增强 Microsoft Defender for IoT 系统中的系统安全性
本地管理控制台的高可用性,降低 OT 传感器管理资源的风险
通过代理隧道访问 OT 网络传感器
你可能希望通过阻止本地管理控制台直接访问 OT 传感器来增强系统安全性。
在这种情况下,请在本地管理控制台上配置代理隧道,以允许用户通过本地管理控制台连接到 OT 传感器。 例如:
登录到 OT 传感器后,用户体验保持不变。 有关详细信息,请参阅通过隧道配置 OT 传感器访问。
本地管理控制台的高可用性
使用 Microsoft Defender for IoT 部署大型 OT 监视系统时,可能需要使用一对主要计算机和辅助计算机在本地管理控制台以实现高可用性。
如果使用的是高可用性体系结构,则:
| 功能 | 说明 |
|---|---|
| 安全连接 | 将应用一个本地管理控制台 SSL/TLS 证书,以在主要设备与辅助设备之间创建安全连接。 使用 CA 签名的证书或在安装过程中生成的自签名证书。 有关详细信息,请参阅。 - 本地资源的 SSL/TLS 证书要求 - 为 OT 设备创建 SSL/TLS 证书 - 创建 SSL/TLS 证书 |
| 数据备份 | 主要本地管理控制台数据会自动备份到辅助本地管理控制台,每 10 分钟一次。 有关详细信息,请参阅备份和还原本地管理控制台。 |
| 系统设置 | 主要本地管理控制台上定义的系统设置会复制到辅助控制台上。 例如,如果主要设备上更新了系统设置,则辅助设备上也会更新这些设置。 |
有关详细信息,请参阅关于高可用性。