A Microsoft Entra szolgáltatásfiókjainak szabályozása

A Microsoft Entra-azonosítóban három típusú szolgáltatásfiók található: felügyelt identitások, szolgáltatásnevek és szolgáltatásfiókokként használt felhasználói fiókok. Amikor szolgáltatásfiókokat hoz létre automatizált használatra, a rendszer engedélyt kap az Azure-ban és a Microsoft Entra-azonosítóban lévő erőforrások elérésére. Az erőforrások közé tartozhatnak a Microsoft 365-szolgáltatások, az SaaS-alkalmazások, az egyéni alkalmazások, az adatbázisok, a HR-rendszerek stb. A Microsoft Entra szolgáltatásfiók szabályozása kezeli a létrehozást, az engedélyeket és az életciklust a biztonság és a folytonosság biztosítása érdekében.

További információ:

• Felügyelt identitások védelme
• Szolgáltatásnevek biztonságossá tétele

Feljegyzés

Nem javasoljuk a felhasználói fiókokat szolgáltatásfiókként, mert kevésbé biztonságosak. Ez magában foglalja a Microsoft Entra-azonosítóval szinkronizált helyszíni szolgáltatásfiókokat is, mert azok nem lesznek egyszerű szolgáltatásnevekké konvertálva. Ehelyett javasolt a felügyelt identitások vagy szolgáltatásnevek használata, valamint a feltételes hozzáférés használata.

További információ: Mi a feltételes hozzáférés?

A szolgáltatásfiók megtervezve

Szolgáltatásfiók létrehozása vagy alkalmazás regisztrálása előtt dokumentálja a szolgáltatásfiók kulcsadatait. Az információk segítségével figyelheti és szabályozhatja a fiókot. Javasoljuk, hogy gyűjtse össze a következő adatokat, és kövesse nyomon azokat a központosított konfigurációkezelési adatbázisban (CMDB).

Adatok	Leírás	Részletek
Tulajdonos	A szolgáltatásfiók kezeléséért és figyeléséért felelős felhasználó vagy csoport	Adjon engedélyt a tulajdonosnak a fiók monitorozására és a problémák megoldására. A problémamegoldást a tulajdonos vagy egy informatikai csapat kérése alapján végezheti el.
Cél	A fiók használata	A szolgáltatásfiók leképezése szolgáltatásra, alkalmazásra vagy szkriptre. Kerülje a többfelhasználós szolgáltatásfiókok létrehozását.
Engedélyek (hatókörök)	Az engedélyek várható készlete	Az erőforrásokhoz hozzáférő erőforrások és engedélyek dokumentálása
CMDB-hivatkozás	Hivatkozás a hozzáféréssel rendelkező erőforrásokra és szkriptekre, amelyekben a szolgáltatásfiókot használják	Az erőforrás- és szkripttulajdonosok dokumentálása a változás hatásainak közléséhez
Kockázatfelmérés	Kockázat és üzleti hatás, ha a fiók biztonsága sérül	Az információk segítségével szűkítse az engedélyek hatókörét, és határozza meg az információkhoz való hozzáférést
Felülvizsgálati időszak	A szolgáltatásfiókok áttekintésének ütemezése a tulajdonos szerint	Tekintse át a kommunikációkat és a véleményezéseket. Dokumentálja, mi történik, ha a felülvizsgálat az ütemezett felülvizsgálati időszak után történik.
Életre	A fiók várható maximális élettartama	Ezzel a méréssel ütemezheti a tulajdonos felé történő kommunikációt, letilthatja, majd törölheti a fiókokat. Adja meg a hitelesítő adatok lejárati dátumát, amely megakadályozza, hogy automatikusan átgördüljenek.
Név	Standardizált fióknév	Elnevezési konvenció létrehozása szolgáltatásfiókok kereséséhez, rendezéséhez és szűréséhez

A minimális jogosultságok elve

Adja meg a feladatok elvégzéséhez szükséges szolgáltatásfiók-engedélyeket, és ne adjon meg többet. Ha egy szolgáltatásfióknak magas szintű engedélyekre van szüksége, értékelje ki, miért, és próbálja meg csökkenteni az engedélyeket.

A szolgáltatásfiók-jogosultságok esetében az alábbi eljárásokat javasoljuk.

Engedélyek

• Ne rendeljen beépített szerepköröket szolgáltatásfiókokhoz
  • Lásd: oAuth2PermissionGrant erőforrástípus
• A szolgáltatásnév kiemelt szerepkörhöz van rendelve
  • Egyéni szerepkör létrehozása és hozzárendelése a Microsoft Entra-azonosítóban
• Ne vegye fel a szolgáltatásfiókokat emelt szintű engedélyekkel rendelkező csoportok tagjai közé
  • Lásd: Get-MgDirectoryRoleMember:

Get-MgDirectoryRoleMember, és szűrjön az objectType "Szolgáltatásnév" típusra, vagy használja
Get-MgServicePrincipal | % { Get-MgServicePrincipalAppRoleAssignment -ObjectId $_ }

• Lásd: Bevezetés az engedélyekbe és a szolgáltatásfiókok által az erőforrásokon elérhető funkciók korlátozásához
• A szolgáltatásnevek és a felügyelt identitások használhatják az Open Authorization (OAuth) 2.0 hatóköröket egy delegált környezetben, amely egy bejelentkezett felhasználót, vagy szolgáltatásfiókként jelenik meg az alkalmazáskörnyezetben. Az alkalmazáskörnyezetben senki sem jelentkezett be.
• A hatókörszolgáltatás-fiókok erőforrás-kérésének megerősítése
  • Ha egy fiók a Files.ReadWrite.All fájlt kéri, értékelje ki, hogy szükséges-e a File.Read.All
  • Microsoft Graph-engedélyek – referencia
• Győződjön meg arról, hogy megbízik az alkalmazásfejlesztőben vagy az API-ben a kért hozzáféréssel

Időtartam

• A szolgáltatásfiók hitelesítő adatainak (titkos ügyfélkód, tanúsítvány) korlátozása a várható használati időszakra
• A szolgáltatásfiókok használatának és céljának rendszeres felülvizsgálatának ütemezése
  • Győződjön meg arról, hogy a felülvizsgálatok a fiók lejárata előtt történnek

Miután megismerte a célt, a hatókört és az engedélyeket, hozza létre a szolgáltatásfiókot, használja az alábbi cikkek utasításait.

• Felügyelt identitások használata az App Service-hez és az Azure Functionshez
• Erőforrásokhoz hozzáférő Microsoft Entra-alkalmazás és szolgáltatásnév létrehozása

Ha lehetséges, használjon felügyelt identitást. Ha nem tud felügyelt identitást használni, használjon egyszerű szolgáltatást. Ha nem tudja használni a szolgáltatásnevet, használjon Microsoft Entra felhasználói fiókot.

Életciklus-folyamat létrehozása

A szolgáltatásfiókok életciklusa tervezéssel kezdődik, és végleges törléssel végződik. A következő szakaszok ismertetik, hogyan figyelheti, tekintheti át az engedélyeket, állapíthatja meg a fiók folyamatos használatát, és végül hogyan bonthatja le a fiókot.

Szolgáltatásfiókok figyelése

A szolgáltatásfiókok figyelése a használati minták helyességének és a szolgáltatásfiók használatának ellenőrzéséhez.

Szolgáltatásfiók-bejelentkezések gyűjtése és monitorozása

Használja az alábbi monitorozási módszerek egyikét:

• Microsoft Entra bejelentkezési naplók az Azure Portalon
• A Microsoft Entra bejelentkezési naplóinak exportálása
  • Az Azure Storage dokumentációja
  • Az Azure Event Hubs dokumentációja vagy
  • Azure Monitor-naplók – áttekintés

Az alábbi képernyőképen megtekintheti a szolgáltatásnév-bejelentkezéseket.

Bejelentkezési napló részletei

Keresse meg a következő részleteket a bejelentkezési naplókban.

• A bérlőbe nem bejelentkezett szolgáltatásfiókok
• A bejelentkezési szolgáltatásfiók-minták változásai

Javasoljuk, hogy exportálja a Microsoft Entra bejelentkezési naplóit, majd importálja őket egy biztonsági információ- és eseménykezelő (SIEM) eszközbe, például a Microsoft Sentinelbe. A SIEM eszközzel riasztásokat és irányítópultokat hozhat létre.

Szolgáltatásfiók engedélyeinek áttekintése

Rendszeresen tekintse át a szolgáltatásfiók engedélyeit és a hatóköröket, és ellenőrizze, hogy csökkenthetők vagy megszüntethetők-e.

• Lásd: Get-MgServicePrincipalOauth2PermissionGrant
• AzureADAssessment Érvényesség megtekintése és megerősítése
• Ne állítsa be a szolgáltatásnév hitelesítő adatait Soha ne járjon le
• Az Azure Key Vaultban tárolt tanúsítványok vagy hitelesítő adatok használata, ha lehetséges
  • Mi az Azure Key Vault?

Szolgáltatásfiók használatának újraengedélyezése

Hozzon létre egy rendszeres felülvizsgálati folyamatot, amely biztosítja, hogy a szolgáltatásfiókokat a tulajdonosok, a biztonsági csapat vagy az informatikai csapat rendszeresen felülvizsgálják.

A folyamat a következőket tartalmazza:

• A szolgáltatásfiók felülvizsgálati ciklusának meghatározása és dokumentálása a CMDB-ben
• Kommunikáció a tulajdonossal, a biztonsági csapattal, az informatikai csapattal a felülvizsgálat előtt
• Határozza meg a figyelmeztető kommunikációt és azok időzítését, ha a felülvizsgálat kimaradt
• Utasítások, ha a tulajdonosok nem tekintik át vagy válaszolnak
  • Tiltsa le, de ne törölje a fiókot, amíg a felülvizsgálat be nem fejeződik
• A függőségek meghatározására vonatkozó utasítások. Az erőforrástulajdonosok értesítése az effektusokról

A felülvizsgálat a tulajdonost és egy informatikai partnert is magában foglalja, és tanúsítja a következőket:

• Fiók szükséges
• A fiók engedélyei megfelelőek és szükségesek, vagy módosítást kérnek
• A fiókhoz és hitelesítő adataihoz való hozzáférés vezérlése
• A fiók hitelesítő adatai pontosak: hitelesítő adatok típusa és élettartama
• A fiók kockázati pontszáma nem változott az előző újraértékelés óta
• A fiók várható élettartamának és a következő újraengedélyezés dátumának frissítése

Szolgáltatásfiókok kivonása

Szolgáltatásfiókok bontása a következő körülmények között:

• A fiókszkript vagy -alkalmazás ki van vonva
• A fiókszkript vagy az alkalmazásfüggvény ki van vonva. Például egy erőforráshoz való hozzáférés.
• A szolgáltatásfiókot egy másik szolgáltatásfiók váltja fel
• A hitelesítő adatok lejártak, vagy a fiók nem működik, és nincsenek panaszok

A leépítés a következő feladatokat foglalja magában:

A társított alkalmazás vagy szkript leépítése után:

• Bejelentkezési naplók a Microsoft Entra-azonosítóban és a szolgáltatásfiók erőforrás-hozzáférésében
  • Ha a fiók aktív, a folytatás előtt állapítsa meg a használat módját
• Felügyeltszolgáltatás-identitás esetén tiltsa le a szolgáltatásfiók bejelentkezését, de ne távolítsa el a címtárból
• Szolgáltatásfiók-szerepkör-hozzárendelések és OAuth2-hozzájárulások visszavonása
• Egy meghatározott időszak után és a tulajdonosok figyelmeztetése után törölje a szolgáltatásfiókot a címtárból

Következő lépések

• Felhőalapú szolgáltatásfiókok védelme
• Felügyelt identitások védelme
• Szolgáltatásnév védelme