Schützen cloudbasierter Dienstkonten
Es gibt drei Typen von nativen Dienstkonten in Microsoft Entra: verwaltete Identitäten, Dienstprinzipale und benutzerbasierte Dienstkonten. Dienstkonten sind ein spezieller Kontotyp, der eine nicht menschliche Entität, z. B. eine Anwendung, eine API oder einen anderen Dienst darstellen soll. Diese Entitäten sind innerhalb des Sicherheitskontexts aktiv, der vom Dienstkonto bereitgestellt wird.
Typen von Microsoft Entra-Dienstkonten
Für in Azure gehostete Dienste sollte nach Möglichkeit eine verwaltete Identität und andernfalls ein Dienstprinzipal verwendet werden. Verwaltete Identitäten können nicht für Dienste verwendet werden, die außerhalb von Azure gehostet werden. In diesem Fall wird ein Dienstprinzipal empfohlen. Wenn Sie eine verwaltete Identität oder einen Dienstprinzipal verwenden können, sollten Sie dies tun. Es wird empfohlen, kein Microsoft Entra-Benutzerkonto als Dienstkonto zu verwenden. Eine Zusammenfassung finden Sie in der folgenden Tabelle.
| Diensthosting | Verwaltete Identität | Dienstprinzipal | Azure-Benutzerkonto |
|---|---|---|---|
| Der Dienst wird in Azure gehostet. | Ja. Empfohlen, wenn der Dienst eine verwaltete Identität unterstützt. |
Ja. | Nicht empfehlenswert. |
| Der Dienst wird nicht in Azure gehostet. | Nein | Ja. Empfohlen. | Nicht empfehlenswert. |
| Der Dienst ist mehrinstanzenfähig. | Nein | Ja. Empfohlen. | Nein. |
Verwaltete Identitäten
Verwaltete Identitäten sind sichere Microsoft Entra-Identitäten, die für die Bereitstellung von Identitäten für Azure-Ressourcen erstellt wurden. Es gibt zwei Typen von verwalteten Identitäten:
Systemseitig zugewiesene verwaltete Identitäten können direkt einer Instanz eines Diensts zugewiesen werden.
Benutzerseitig zugewiesene verwaltete Identitäten können als eigenständige Ressourcen erstellt werden.
Weitere Informationen finden Sie unter Sichern von verwalteten Identitäten. Allgemeine Informationen zu verwalteten Identitäten finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.
Dienstprinzipale
Wenn Sie keine verwaltete Identität zur Darstellung Ihrer Anwendung verwenden können, verwenden Sie einen Dienstprinzipal. Dienstprinzipale können sowohl mit Einzelinstanz- als auch mit mehrinstanzenfähigen Anwendungen verwendet werden.
Ein Dienstprinzipal ist die lokale Darstellung eines Anwendungsobjekts in einem einzelnen Microsoft Entra-Mandanten. Er fungiert als Identität der Anwendungsinstanz, definiert, wer auf die Anwendung zugreifen kann und auf welche Ressourcen die Anwendung zugreifen kann. Ein Dienstprinzipal wird (lokal) in jedem Mandanten erstellt, in dem die Anwendung verwendet wird, und verweist auf das global eindeutige Anwendungsobjekt. Mit dem Mandanten werden die Anmeldung des Dienstprinzipals und dessen Zugriff auf Ressourcen geschützt.
Es gibt zwei Mechanismen zur Authentifizierung mithilfe von Dienstprinzipalen – Clientzertifikate und geheime Clientschlüssel. Zertifikate sind sicherer: Verwenden Sie nach Möglichkeit Clientzertifikate. Im Gegensatz zu geheimen Clientschlüsseln können Clientzertifikate nicht versehentlich in Code eingebettet werden.
Informationen zum Sichern von Dienstprinzipalen finden Sie unter Sichern von Dienstprinzipalen.
Nächste Schritte
Weitere Informationen zum Sichern von Azure-Dienstkonten finden Sie unter: