Megosztás a következőn keresztül:


Szolgáltatásnevek biztosítása a Microsoft Entra ID-ban

A Microsoft Entra szolgáltatásnév egy alkalmazásobjektum helyi ábrázolása egy bérlőben vagy címtárban. Ez az alkalmazáspéldány identitása. A szolgáltatásnevek határozzák meg az alkalmazás hozzáférését és az alkalmazás által elért erőforrásokat. Minden bérlőben létrejön egy szolgáltatásnév, ahol az alkalmazást használják, és a globálisan egyedi alkalmazásobjektumra hivatkozik. A bérlő biztosítja a szolgáltatásnév bejelentkezését és az erőforrásokhoz való hozzáférést.

További információ: Alkalmazás- és szolgáltatásnév-objektumok a Microsoft Entra-azonosítóban

Bérlő-szolgáltatásnév kapcsolatok

Az egybérlős alkalmazások egyetlen szolgáltatásnévvel rendelkeznek az otthoni bérlőben. A több-bérlős webalkalmazások vagy API-k minden bérlőben egy szolgáltatásnevet igényelnek. Szolgáltatásnév akkor jön létre, ha a bérlő egy felhasználója hozzájárul az alkalmazás vagy AZ API használatához. Ez a hozzájárulás egy-a-többhöz kapcsolatot hoz létre a több-bérlős alkalmazás és a hozzá tartozó szolgáltatásnevek között.

A több-bérlős alkalmazások egy bérlőben vannak otthon, és más bérlők példányai is vannak. A legtöbb szolgáltatott szoftveres (SaaS-) alkalmazás több bérlős helyet foglal el. Szolgáltatásnevek használatával biztosíthatja az alkalmazás és a felhasználók számára szükséges biztonsági helyzetet egy- és több-bérlős forgatókönyvekben.

ApplicationID és ObjectID

Az alkalmazáspéldánynak két tulajdonsága van: az ApplicationID (vagy ClientID) és az ObjectID.

Feljegyzés

Az alkalmazás és a szolgáltatásnév kifejezéseket a rendszer felcserélve használja, amikor egy alkalmazásra hivatkozik a hitelesítési feladatokban. Ezek azonban a Microsoft Entra-azonosítóban található alkalmazások két reprezentációja.

Az ApplicationID a globális alkalmazást jelöli, és ugyanaz az alkalmazáspéldányok esetében a bérlők között. Az ObjectID egy alkalmazásobjektum egyedi értéke. A felhasználókhoz, csoportokhoz és egyéb erőforrásokhoz hasonlóan az ObjectID segít azonosítani egy alkalmazáspéldányt a Microsoft Entra ID-ban.

További információ: Alkalmazás- és szolgáltatásnév-kapcsolat a Microsoft Entra-azonosítóban

Alkalmazás és szolgáltatásnév objektumának létrehozása

Létrehozhat egy alkalmazást és annak szolgáltatásnév-objektumát (ObjectID) a bérlőben az alábbiak használatával:

  • Azure PowerShell
  • Microsoft Graph PowerShell
  • Azure parancssori felület (Azure CLI)
  • Microsoft Graph API
  • Az Azure Portal
  • Egyéb eszközök

Képernyőkép az alkalmazás- vagy ügyfél-azonosítóról és az objektumazonosítóról az Új alkalmazás lapon.

Egyszerű szolgáltatás hitelesítése

A hitelesítésnek két mechanizmusa van: az ügyféltanúsítványok és az ügyfél titkos kulcsok használata esetén.

Képernyőkép az Új alkalmazás, Tanúsítványok és titkos kódok területen lévő tanúsítványokról és ügyféltitkokról.

Mivel a tanúsítványok biztonságosabbak, javasoljuk, hogy ha lehetséges, használja őket. Az ügyfélkódokkal ellentétben az ügyféltanúsítványok nem ágyazhatók be kódba, véletlenül. Ha lehetséges, az Azure Key Vault használatával tanúsítvány- és titkos kulcskezeléssel titkosíthatja az objektumokat hardveres biztonsági modulok által védett kulcsokkal:

  • Hitelesítési kulcsok
  • Tárfiókkulcsok
  • Adattitkosítási kulcsok
  • .pfx-fájlok
  • Jelszavak

Az Azure Key Vaultról és a tanúsítvány- és titkos kulcskezelésről a következő témakörben talál további információt:

Kihívások és kockázatcsökkentések

Szolgáltatásnevek használata esetén az alábbi táblázat segítségével feleljen meg a kihívásoknak és a kockázatcsökkentéseknek.

Feladat Kockázatcsökkentés
Hozzáférési felülvizsgálatok a kiemelt szerepkörökhöz rendelt szolgáltatásnevekhez Ez a funkció előzetes verzióban érhető el
Szolgáltatásnév-hozzáférési felülvizsgálatok Erőforrás-hozzáférés-vezérlési lista manuális ellenőrzése az Azure Portal használatával
Túlengedélyezett szolgáltatásnevek Automatizálási szolgáltatásfiókok vagy szolgáltatásnevek létrehozásakor adjon engedélyeket a feladathoz. A szolgáltatásnevek kiértékelése a jogosultságok csökkentése érdekében.
A szolgáltatásnév hitelesítő adatainak vagy hitelesítési módszereinek módosításainak azonosítása - Lásd: Bizalmas műveletek jelentés munkafüzete
– Tekintse meg a Tech Community blogbejegyzést, a Microsoft Entra munkafüzetet, amely segít felmérni a Solorigate kockázatát

Fiókok keresése szolgáltatásnevek használatával

Fiókok kereséséhez futtassa az alábbi parancsokat szolgáltatásnevek használatával az Azure CLI-vel vagy a PowerShell-lel.

  • Azure CLI – az ad sp list
  • PowerShell – Get-MgServicePrincipal -All:$true

További információ: Get-MgServicePrincipal

Szolgáltatásnév biztonságának felmérése

A biztonság értékeléséhez értékelje ki a jogosultságokat és a hitelesítő adatok tárolását. A kihívások megoldásához használja az alábbi táblázatot:

Feladat Kockázatcsökkentés
Észleli a több-bérlős alkalmazáshoz hozzájáruló felhasználót, és észleli a több-bérlős alkalmazásokhoz adott tiltott hozzájárulásokat – Futtassa a következő PowerShellt a több-bérlős alkalmazások megkereséséhez
Get-MgServicePrincipal -All:$true | ? {$_.Tags -eq "WindowsAzureActiveDirectoryIntegratedApp"}
- Felhasználói hozzájárulás letiltása – Felhasználói hozzájárulás
engedélyezése ellenőrzött közzétevőktől a kiválasztott engedélyekhez (ajánlott)
– Konfigurálásuk a felhasználói környezetben
– A jogkivonatokkal aktiválhatja a szolgáltatásnevet
Szigorúan kódolt megosztott titkos kód használata egy szkriptben szolgáltatásnév használatával Tanúsítvány használata
Annak nyomon követése, hogy ki használja a tanúsítványt vagy a titkos kulcsot A szolgáltatásnév-bejelentkezések monitorozása a Microsoft Entra bejelentkezési naplóival
A szolgáltatásnév feltételes hozzáféréssel való bejelentkezése nem kezelhető Bejelentkezések monitorozása a Microsoft Entra bejelentkezési naplóival
A közreműködő az Alapértelmezett Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) szerepkör Az igények kiértékelése és a lehető legkisebb engedélyek alkalmazása

További információ: Mi a feltételes hozzáférés?

Váltás felhasználói fiókról szolgáltatásnévre

Ha azure-beli felhasználói fiókot használ szolgáltatásnévként, értékelje ki, hogy át tud-e lépni egy felügyelt identitásra vagy szolgáltatásnévre. Ha nem tud felügyelt identitást használni, adjon meg egy szolgáltatásnévnek elegendő engedélyt és hatókört a szükséges feladatok futtatásához. Szolgáltatásnév létrehozásához regisztrálhat egy alkalmazást vagy a PowerShellt.

A Microsoft Graph használatakor tekintse meg az API dokumentációját. Győződjön meg arról, hogy az alkalmazás engedélytípusa támogatott.
Lásd: ServicePrincipal létrehozása

További információ:

Következő lépések

További információ a szolgáltatásnevekről:

Biztonságos szolgáltatásfiókok:

Feltételes hozzáférés:

A feltételes hozzáféréssel letilthatja a szolgáltatásnevek nem megbízható helyekről való használatát.

Lásd: Helyalapú feltételes hozzáférési szabályzat létrehozása