Condividi tramite


Protezione delle entità servizio in Microsoft Entra ID

Un'entità servizio Microsoft Entra è la rappresentazione locale di un oggetto applicazione in un tenant o in una directory. Si tratta dell'identità dell'istanza dell'applicazione. Le entità servizio definiscono l'accesso alle applicazioni e le risorse a cui accede l'applicazione. Un'entità servizio viene creata in ogni tenant in cui viene utilizzata l'applicazione e fa riferimento all'oggetto applicazione univoco a livello globale. Il tenant protegge l'accesso all'entità servizio e l'accesso alle risorse.

Altre informazioni su Oggetti applicazione ed entità servizio in Microsoft Entra ID

Relazioni tra entità servizio tenant

Un'applicazione con tenant singolo dispone di un'entità servizio (nel relativo tenant home). Un'applicazione Web multi-tenant o un'API richiede un'entità servizio in ogni tenant. Un'entità servizio viene creata quando un utente di tale tenant acconsente all'uso dell'applicazione o dell'API. Questo consenso crea una relazione uno-a-molti tra l'applicazione multi-tenant e le entità servizio associate.

Un'applicazione multi-tenant è ospitata in un tenant e ha istanze in altri tenant. La maggior parte delle applicazioni Software-as-a-Service (SaaS) supporta la multi-tenancy. Usare le entità servizio per garantire la postura di sicurezza necessario per l'applicazione e i relativi utenti in scenari a tenant singolo e multi-tenant.

ApplicationID e ObjectID

Un'istanza dell'applicazione ha due proprietà: ApplicationID (o ClientID) e ObjectID.

Nota

I termini applicazione e entità servizio vengono usati in modo intercambiabile quando si fa riferimento a un'applicazione nelle attività di autenticazione. Tuttavia, sono due rappresentazioni delle applicazioni in Microsoft Entra ID.

ApplicationID rappresenta l'applicazione globale ed è la stessa per le istanze dell'applicazione, tra tenant. ObjectID è un valore univoco per un oggetto applicazione. Come per utenti, gruppi e altre risorse, ObjectID contribuisce a identificare un'istanza dell'applicazione in Microsoft Entra ID.

Per altre informazioni, vedere Relazione tra applicazioni e entità servizio in Microsoft Entra ID

Creare un'applicazione e il relativo oggetto entità servizio

È possibile creare un'applicazione e il relativo oggetto entità servizio (ObjectID) in un tenant usando:

  • Azure PowerShell
  • PowerShell di Microsoft Graph
  • Interfaccia della riga di comando di Azure (Azure CLI)
  • API di Microsoft Graph
  • Il portale di Azure
  • Altri strumenti

Screenshot dell'ID applicazione o client e dell'ID oggetto nella pagina Nuova app.

Autenticazione dell'entità servizio

Esistono due meccanismi per l'autenticazione, quando si usano entità servizio, ovvero certificati client e segreti client.

Screenshot dei certificati e dei segreti client in Nuova app, Certificati e segreti.

Poiché i certificati sono più sicuri, è consigliabile usarli, quando possibile. A differenza dei segreti client, i certificati client non possono essere incorporati nel codice, accidentalmente. Quando possibile, usare Azure Key Vault per la gestione di certificati e segreti per crittografare gli asset con chiavi protette dai moduli di sicurezza hardware:

  • Chiavi di autenticazione
  • Chiavi dell'account di archiviazione
  • Chiavi di crittografia dei dati
  • File .pfx
  • Password

Per altre informazioni su Azure Key Vault e su come usarlo per la gestione dei certificati e dei segreti, vedere:

Sfide e mitigazioni

Quando si usano le entità servizio, usare la tabella seguente per soddisfare le problematiche e le mitigazioni.

Esercizio Strategia di riduzione del rischio
Revisioni degli accessi per le entità servizio assegnate ai ruoli con privilegi Questa funzionalità è in anteprima
Revisioni degli accessi dell'entità servizio Controllo manuale dell'elenco di controllo di accesso alle risorse tramite il portale di Azure
Entità servizio con autorizzazioni eccessivo Quando si creano account del servizio di automazione o entità servizio, concedere le autorizzazioni per l'attività. Valutare le entità servizio per ridurre i privilegi.
Identificare le modifiche apportate alle credenziali dell'entità servizio o ai metodi di autenticazione - Vedere la cartella di lavoro
del report sulle operazioni sensibili - Vedere il post di blog della Community tecnica, cartella di lavoro di Microsoft Entra per aiutare a valutare il rischio Solorigate

Trovare gli account usando le entità servizio

Per trovare gli account, eseguire i comandi seguenti usando le entità servizio con l'interfaccia della riga di comando di Azure o PowerShell.

  • Interfaccia della riga di comando di Azure: az ad sp list
  • PowerShell - Get-MgServicePrincipal -All:$true

Per altre informazioni, vedere Get-MgServicePrincipal

Valutare la sicurezza dell'entità servizio

Per valutare la sicurezza, valutare i privilegi e l'archiviazione delle credenziali. Usare la tabella seguente per facilitare l’attenuazione delle sfide:

Esercizio Strategia di riduzione del rischio
Rilevare l'utente che ha acconsentito a un'app multi-tenant e rilevare le concessioni di consenso illecito a un'app multi-tenant - Eseguire il comando PowerShell seguente per trovare le app multi-tenant
Get-MgServicePrincipal -All:$true | ? {$_.Tags -eq "WindowsAzureActiveDirectoryIntegratedApp"}
- Disabilitare il consenso utente
- Consentire il consenso utente da autori verificati, per autorizzazioni selezionate (scelta consigliata)
- Configurarle nel contesto utente
- Usare i token per attivare l'entità servizio
Uso di un segreto condiviso hardcoded in uno script usando un'entità servizio Usare un certificato
Rilevamento degli utenti che usano il certificato o il segreto Monitorare gli accessi dell'entità servizio usando i log di accesso di Microsoft Entra
Non è possibile gestire l'accesso dell'entità servizio con l'Accesso condizionale Monitorare gli accessi usando i log di accesso di Microsoft Entra
Collaboratore è il ruolo predefinito controllo degli accessi in base al ruolo di Azure Valutare le esigenze e applicare le autorizzazioni minime possibili

Altre informazioni: Informazioni sull'Accesso condizionale

Passare da un account utente a un'entità servizio

Se si usa un account utente di Azure come entità servizio, valutare se è possibile passare a un'identità gestita o a un'entità servizio. Se non è possibile usare un'identità gestita, concedere a un'entità servizio autorizzazioni e ambito sufficienti per eseguire le attività necessarie. È possibile creare un'entità servizio registrando un'applicazione o con PowerShell.

Quando si usa Microsoft Graph, vedere la documentazione dell'API. Verificare che il tipo di autorizzazione per l'applicazione sia supportato.
Vedere, Creare un’entità servizio

Altre informazioni:

Passaggi successivi

Altre informazioni sulle entità servizio:

Proteggere gli account del servizio:

Accesso condizionale:

Usare l'Accesso condizionale per bloccare le entità servizio da posizioni non attendibili.

Vedere Creare criteri di Accesso condizionale basato sull’area geografica