Freigeben über


Schützen cloudbasierter Dienstkonten

Es gibt drei Typen von nativen Dienstkonten in Microsoft Entra: verwaltete Identitäten, Dienstprinzipale und benutzerbasierte Dienstkonten. Dienstkonten sind ein spezieller Kontotyp, der eine nicht menschliche Entität, z. B. eine Anwendung, eine API oder einen anderen Dienst darstellen soll. Diese Entitäten sind innerhalb des Sicherheitskontexts aktiv, der vom Dienstkonto bereitgestellt wird.

Typen von Microsoft Entra-Dienstkonten

Für in Azure gehostete Dienste sollte nach Möglichkeit eine verwaltete Identität und andernfalls ein Dienstprinzipal verwendet werden. Verwaltete Identitäten können nicht für Dienste verwendet werden, die außerhalb von Azure gehostet werden. In diesem Fall wird ein Dienstprinzipal empfohlen. Wenn Sie eine verwaltete Identität oder einen Dienstprinzipal verwenden können, sollten Sie dies tun. Es wird empfohlen, kein Microsoft Entra-Benutzerkonto als Dienstkonto zu verwenden. Eine Zusammenfassung finden Sie in der folgenden Tabelle.

Diensthosting Verwaltete Identität Dienstprinzipal Azure-Benutzerkonto
Der Dienst wird in Azure gehostet. Ja.
Empfohlen, wenn der Dienst
eine verwaltete Identität unterstützt.
Ja. Nicht empfehlenswert.
Der Dienst wird nicht in Azure gehostet. Nein Ja. Empfohlen. Nicht empfehlenswert.
Der Dienst ist mehrinstanzenfähig. Nein Ja. Empfohlen. Nein.

Verwaltete Identitäten

Verwaltete Identitäten sind sichere Microsoft Entra-Identitäten, die für die Bereitstellung von Identitäten für Azure-Ressourcen erstellt wurden. Es gibt zwei Typen von verwalteten Identitäten:

  • Systemseitig zugewiesene verwaltete Identitäten können direkt einer Instanz eines Diensts zugewiesen werden.

  • Benutzerseitig zugewiesene verwaltete Identitäten können als eigenständige Ressourcen erstellt werden.

Weitere Informationen finden Sie unter Sichern von verwalteten Identitäten. Allgemeine Informationen zu verwalteten Identitäten finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.

Dienstprinzipale

Wenn Sie keine verwaltete Identität zur Darstellung Ihrer Anwendung verwenden können, verwenden Sie einen Dienstprinzipal. Dienstprinzipale können sowohl mit Einzelinstanz- als auch mit mehrinstanzenfähigen Anwendungen verwendet werden.

Ein Dienstprinzipal ist die lokale Darstellung eines Anwendungsobjekts in einem einzelnen Microsoft Entra-Mandanten. Er fungiert als Identität der Anwendungsinstanz, definiert, wer auf die Anwendung zugreifen kann und auf welche Ressourcen die Anwendung zugreifen kann. Ein Dienstprinzipal wird (lokal) in jedem Mandanten erstellt, in dem die Anwendung verwendet wird, und verweist auf das global eindeutige Anwendungsobjekt. Mit dem Mandanten werden die Anmeldung des Dienstprinzipals und dessen Zugriff auf Ressourcen geschützt.

Es gibt zwei Mechanismen zur Authentifizierung mithilfe von Dienstprinzipalen – Clientzertifikate und geheime Clientschlüssel. Zertifikate sind sicherer: Verwenden Sie nach Möglichkeit Clientzertifikate. Im Gegensatz zu geheimen Clientschlüsseln können Clientzertifikate nicht versehentlich in Code eingebettet werden.

Informationen zum Sichern von Dienstprinzipalen finden Sie unter Sichern von Dienstprinzipalen.

Nächste Schritte

Weitere Informationen zum Sichern von Azure-Dienstkonten finden Sie unter:

Sichern von verwalteten Identitäten

Sichern von Dienstprinzipalen

Steuern von Azure-Dienstkonten