A Microsoft Entra szolgáltatásfiókjainak szabályozása
A Microsoft Entra-azonosítóban három típusú szolgáltatásfiók található: felügyelt identitások, szolgáltatásnevek és szolgáltatásfiókokként használt felhasználói fiókok. Amikor szolgáltatásfiókokat hoz létre automatizált használatra, a rendszer engedélyt kap az Azure-ban és a Microsoft Entra-azonosítóban lévő erőforrások elérésére. Az erőforrások közé tartozhatnak a Microsoft 365-szolgáltatások, az SaaS-alkalmazások, az egyéni alkalmazások, az adatbázisok, a HR-rendszerek stb. A Microsoft Entra szolgáltatásfiók szabályozása kezeli a létrehozást, az engedélyeket és az életciklust a biztonság és a folytonosság biztosítása érdekében.
További információ:
Feljegyzés
Nem javasoljuk a felhasználói fiókokat szolgáltatásfiókként, mert kevésbé biztonságosak. Ez magában foglalja a Microsoft Entra-azonosítóval szinkronizált helyszíni szolgáltatásfiókokat is, mert azok nem lesznek egyszerű szolgáltatásnevekké konvertálva. Ehelyett javasolt a felügyelt identitások vagy szolgáltatásnevek használata, valamint a feltételes hozzáférés használata.
További információ: Mi a feltételes hozzáférés?
A szolgáltatásfiók megtervezve
Szolgáltatásfiók létrehozása vagy alkalmazás regisztrálása előtt dokumentálja a szolgáltatásfiók kulcsadatait. Az információk segítségével figyelheti és szabályozhatja a fiókot. Javasoljuk, hogy gyűjtse össze a következő adatokat, és kövesse nyomon azokat a központosított konfigurációkezelési adatbázisban (CMDB).
Adatok | Leírás | Részletek |
---|---|---|
Tulajdonos | A szolgáltatásfiók kezeléséért és figyeléséért felelős felhasználó vagy csoport | Adjon engedélyt a tulajdonosnak a fiók monitorozására és a problémák megoldására. A problémamegoldást a tulajdonos vagy egy informatikai csapat kérése alapján végezheti el. |
Cél | A fiók használata | A szolgáltatásfiók leképezése szolgáltatásra, alkalmazásra vagy szkriptre. Kerülje a többfelhasználós szolgáltatásfiókok létrehozását. |
Engedélyek (hatókörök) | Az engedélyek várható készlete | Az erőforrásokhoz hozzáférő erőforrások és engedélyek dokumentálása |
CMDB-hivatkozás | Hivatkozás a hozzáféréssel rendelkező erőforrásokra és szkriptekre, amelyekben a szolgáltatásfiókot használják | Az erőforrás- és szkripttulajdonosok dokumentálása a változás hatásainak közléséhez |
Kockázatfelmérés | Kockázat és üzleti hatás, ha a fiók biztonsága sérül | Az információk segítségével szűkítse az engedélyek hatókörét, és határozza meg az információkhoz való hozzáférést |
Felülvizsgálati időszak | A szolgáltatásfiókok áttekintésének ütemezése a tulajdonos szerint | Tekintse át a kommunikációkat és a véleményezéseket. Dokumentálja, mi történik, ha a felülvizsgálat az ütemezett felülvizsgálati időszak után történik. |
Életre | A fiók várható maximális élettartama | Ezzel a méréssel ütemezheti a tulajdonos felé történő kommunikációt, letilthatja, majd törölheti a fiókokat. Adja meg a hitelesítő adatok lejárati dátumát, amely megakadályozza, hogy automatikusan átgördüljenek. |
Név | Standardizált fióknév | Elnevezési konvenció létrehozása szolgáltatásfiókok kereséséhez, rendezéséhez és szűréséhez |
A minimális jogosultságok elve
Adja meg a feladatok elvégzéséhez szükséges szolgáltatásfiók-engedélyeket, és ne adjon meg többet. Ha egy szolgáltatásfióknak magas szintű engedélyekre van szüksége, értékelje ki, miért, és próbálja meg csökkenteni az engedélyeket.
A szolgáltatásfiók-jogosultságok esetében az alábbi eljárásokat javasoljuk.
Engedélyek
- Ne rendeljen beépített szerepköröket szolgáltatásfiókokhoz
- A szolgáltatásnév kiemelt szerepkörhöz van rendelve
- Ne vegye fel a szolgáltatásfiókokat emelt szintű engedélyekkel rendelkező csoportok tagjai közé
- Lásd: Get-MgDirectoryRoleMember:
Get-MgDirectoryRoleMember
, és szűrjön az objectType "Szolgáltatásnév" típusra, vagy használjaGet-MgServicePrincipal | % { Get-MgServicePrincipalAppRoleAssignment -ObjectId $_ }
- Lásd: Bevezetés az engedélyekbe és a szolgáltatásfiókok által az erőforrásokon elérhető funkciók korlátozásához
- A szolgáltatásnevek és a felügyelt identitások használhatják az Open Authorization (OAuth) 2.0 hatóköröket egy delegált környezetben, amely egy bejelentkezett felhasználót, vagy szolgáltatásfiókként jelenik meg az alkalmazáskörnyezetben. Az alkalmazáskörnyezetben senki sem jelentkezett be.
- A hatókörszolgáltatás-fiókok erőforrás-kérésének megerősítése
- Ha egy fiók a Files.ReadWrite.All fájlt kéri, értékelje ki, hogy szükséges-e a File.Read.All
- Microsoft Graph-engedélyek – referencia
- Győződjön meg arról, hogy megbízik az alkalmazásfejlesztőben vagy az API-ben a kért hozzáféréssel
Időtartam
- A szolgáltatásfiók hitelesítő adatainak (titkos ügyfélkód, tanúsítvány) korlátozása a várható használati időszakra
- A szolgáltatásfiókok használatának és céljának rendszeres felülvizsgálatának ütemezése
- Győződjön meg arról, hogy a felülvizsgálatok a fiók lejárata előtt történnek
Miután megismerte a célt, a hatókört és az engedélyeket, hozza létre a szolgáltatásfiókot, használja az alábbi cikkek utasításait.
- Felügyelt identitások használata az App Service-hez és az Azure Functionshez
- Erőforrásokhoz hozzáférő Microsoft Entra-alkalmazás és szolgáltatásnév létrehozása
Ha lehetséges, használjon felügyelt identitást. Ha nem tud felügyelt identitást használni, használjon egyszerű szolgáltatást. Ha nem tudja használni a szolgáltatásnevet, használjon Microsoft Entra felhasználói fiókot.
Életciklus-folyamat létrehozása
A szolgáltatásfiókok életciklusa tervezéssel kezdődik, és végleges törléssel végződik. A következő szakaszok ismertetik, hogyan figyelheti, tekintheti át az engedélyeket, állapíthatja meg a fiók folyamatos használatát, és végül hogyan bonthatja le a fiókot.
Szolgáltatásfiókok figyelése
A szolgáltatásfiókok figyelése a használati minták helyességének és a szolgáltatásfiók használatának ellenőrzéséhez.
Szolgáltatásfiók-bejelentkezések gyűjtése és monitorozása
Használja az alábbi monitorozási módszerek egyikét:
- Microsoft Entra bejelentkezési naplók az Azure Portalon
- A Microsoft Entra bejelentkezési naplóinak exportálása
Az alábbi képernyőképen megtekintheti a szolgáltatásnév-bejelentkezéseket.
Bejelentkezési napló részletei
Keresse meg a következő részleteket a bejelentkezési naplókban.
- A bérlőbe nem bejelentkezett szolgáltatásfiókok
- A bejelentkezési szolgáltatásfiók-minták változásai
Javasoljuk, hogy exportálja a Microsoft Entra bejelentkezési naplóit, majd importálja őket egy biztonsági információ- és eseménykezelő (SIEM) eszközbe, például a Microsoft Sentinelbe. A SIEM eszközzel riasztásokat és irányítópultokat hozhat létre.
Szolgáltatásfiók engedélyeinek áttekintése
Rendszeresen tekintse át a szolgáltatásfiók engedélyeit és a hatóköröket, és ellenőrizze, hogy csökkenthetők vagy megszüntethetők-e.
- Lásd: Get-MgServicePrincipalOauth2PermissionGrant
AzureADAssessment
Érvényesség megtekintése és megerősítése- Ne állítsa be a szolgáltatásnév hitelesítő adatait Soha ne járjon le
- Az Azure Key Vaultban tárolt tanúsítványok vagy hitelesítő adatok használata, ha lehetséges
Szolgáltatásfiók használatának újraengedélyezése
Hozzon létre egy rendszeres felülvizsgálati folyamatot, amely biztosítja, hogy a szolgáltatásfiókokat a tulajdonosok, a biztonsági csapat vagy az informatikai csapat rendszeresen felülvizsgálják.
A folyamat a következőket tartalmazza:
- A szolgáltatásfiók felülvizsgálati ciklusának meghatározása és dokumentálása a CMDB-ben
- Kommunikáció a tulajdonossal, a biztonsági csapattal, az informatikai csapattal a felülvizsgálat előtt
- Határozza meg a figyelmeztető kommunikációt és azok időzítését, ha a felülvizsgálat kimaradt
- Utasítások, ha a tulajdonosok nem tekintik át vagy válaszolnak
- Tiltsa le, de ne törölje a fiókot, amíg a felülvizsgálat be nem fejeződik
- A függőségek meghatározására vonatkozó utasítások. Az erőforrástulajdonosok értesítése az effektusokról
A felülvizsgálat a tulajdonost és egy informatikai partnert is magában foglalja, és tanúsítja a következőket:
- Fiók szükséges
- A fiók engedélyei megfelelőek és szükségesek, vagy módosítást kérnek
- A fiókhoz és hitelesítő adataihoz való hozzáférés vezérlése
- A fiók hitelesítő adatai pontosak: hitelesítő adatok típusa és élettartama
- A fiók kockázati pontszáma nem változott az előző újraértékelés óta
- A fiók várható élettartamának és a következő újraengedélyezés dátumának frissítése
Szolgáltatásfiókok kivonása
Szolgáltatásfiókok bontása a következő körülmények között:
- A fiókszkript vagy -alkalmazás ki van vonva
- A fiókszkript vagy az alkalmazásfüggvény ki van vonva. Például egy erőforráshoz való hozzáférés.
- A szolgáltatásfiókot egy másik szolgáltatásfiók váltja fel
- A hitelesítő adatok lejártak, vagy a fiók nem működik, és nincsenek panaszok
A leépítés a következő feladatokat foglalja magában:
A társított alkalmazás vagy szkript leépítése után:
- Bejelentkezési naplók a Microsoft Entra-azonosítóban és a szolgáltatásfiók erőforrás-hozzáférésében
- Ha a fiók aktív, a folytatás előtt állapítsa meg a használat módját
- Felügyeltszolgáltatás-identitás esetén tiltsa le a szolgáltatásfiók bejelentkezését, de ne távolítsa el a címtárból
- Szolgáltatásfiók-szerepkör-hozzárendelések és OAuth2-hozzájárulások visszavonása
- Egy meghatározott időszak után és a tulajdonosok figyelmeztetése után törölje a szolgáltatásfiókot a címtárból
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: