Protegendo entidades de serviço no Microsoft Entra ID

Uma entidade de serviço do Microsoft Entra é a representação local de um objeto de aplicativo em um locatário ou diretório. É a identidade da instância do aplicativo. As entidades de serviço definem o acesso ao aplicativo e os recursos que o aplicativo acessa. É criado um principal do serviço em cada inquilino onde a aplicação é utilizada e referencia o objeto de aplicação exclusivo global. O locatário protege a entrada da entidade de serviço e o acesso aos recursos.

Saiba mais: Objetos principais de aplicativo e serviço no Microsoft Entra ID

Relações principal de serviço de locatário

Um aplicativo de locatário único tem uma entidade de serviço em seu locatário doméstico. Uma API ou aplicativo Web multilocatário requer uma entidade de serviço em cada locatário. Uma entidade de serviço é criada quando um usuário desse locatário consente o uso do aplicativo ou da API. Esse consentimento cria uma relação um-para-muitos entre o aplicativo multilocatário e suas entidades de serviço associadas.

Um aplicativo multilocatário é hospedado em um locatário e tem instâncias em outros locatários. A maioria dos aplicativos de software como serviço (SaaS) acomoda multilocação. Use entidades de serviço para garantir a postura de segurança necessária para o aplicativo e seus usuários em cenários de locatário único e multilocatário.

ApplicationID e ObjectID

Uma instância de aplicativo tem duas propriedades: ApplicationID (ou ClientID) e ObjectID.

Nota

Os termos aplicativo e entidade de serviço são usados de forma intercambiável, quando se referem a um aplicativo em tarefas de autenticação. No entanto, são duas representações de aplicações no Microsoft Entra ID.

O ApplicationID representa o aplicativo global e é o mesmo para instâncias de aplicativo, entre locatários. O ObjectID é um valor exclusivo para um objeto de aplicativo. Assim como acontece com usuários, grupos e outros recursos, o ObjectID ajuda a identificar uma instância de aplicativo no Microsoft Entra ID.

Para saber mais, consulte Relação principal de aplicativo e serviço no Microsoft Entra ID

Criar um aplicativo e seu objeto principal de serviço

Você pode criar um aplicativo e seu objeto principal de serviço (ObjectID) em um locatário usando:

• Azure PowerShell
• Microsoft Graph PowerShell
• Interface de linha de comando do Azure (CLI do Azure)
• Microsoft Graph API
• O portal do Azure
• Outras ferramentas

Autenticação do principal de serviço

Há dois mecanismos de autenticação ao usar entidades de serviço: certificados de cliente e segredos de cliente.

Como os certificados são mais seguros, é recomendável usá-los sempre que possível. Ao contrário dos segredos do cliente, os certificados do cliente não podem ser incorporados no código, acidentalmente. Quando possível, use o Cofre de Chaves do Azure para gerenciamento de certificados e segredos para criptografar ativos com chaves protegidas por módulos de segurança de hardware:

• Chaves de autenticação
• Chaves de contas de armazenamento
• Chaves de encriptação de dados
• Arquivos .pfx
• Palavras-chave

Para obter mais informações sobre o Cofre de Chaves do Azure e como usá-lo para gerenciamento de certificados e segredos, consulte:

• Sobre o Azure Key Vault
• Atribuir uma política de acesso do Key Vault

Desafios e mitigações

Ao usar entidades de serviço, use a tabela a seguir para corresponder aos desafios e atenuações.

Desafio	Mitigação
Acessar revisões para entidades de serviço atribuídas a funções privilegiadas	Esta funcionalidade está em pré-visualização
Avaliações de acesso da entidade de serviço	Verificação manual da lista de controle de acesso a recursos usando o portal do Azure
Entidades de serviço com permissão excessiva	Quando você cria contas de serviço de automação, ou entidades de serviço, conceda permissões para a tarefa. Avalie as entidades de serviço para reduzir os privilégios.
Identificar modificações nas credenciais da entidade de serviço ou nos métodos de autenticação	- Consulte a pasta de trabalho do relatório de operações sensíveis - Consulte a postagem do blog da Comunidade Técnica, pasta de trabalho do Microsoft Entra para ajudá-lo a avaliar o risco do Solorigate

Localizar contas usando entidades de serviço

Para localizar contas, execute os seguintes comandos usando entidades de serviço com a CLI do Azure ou o PowerShell.

• CLI do Azure - az ad sp list
• PowerShell - Get-MgServicePrincipal -All:$true

Para obter mais informações, consulte Get-MgServicePrincipal

Avaliar a segurança da entidade de serviço

Para avaliar a segurança, avalie os privilégios e o armazenamento de credenciais. Use a tabela a seguir para ajudar a mitigar desafios:

Desafio	Mitigação
Detetar o usuário que consentiu com um aplicativo multilocatário e detetar concessões ilícitas de consentimento para um aplicativo multilocatário	- Execute o seguinte PowerShell para localizar aplicativos multilocatários Get-MgServicePrincipal -All:$true | ? {$_.Tags -eq "WindowsAzureActiveDirectoryIntegratedApp"} - Desativar o consentimento do usuário - Permitir o consentimento do usuário de editores verificados, para permissões selecionadas (recomendado) - Configurá-los no contexto do usuário - Use seus tokens para acionar a entidade de serviço
Uso de um segredo compartilhado codificado em um script usando uma entidade de serviço	Usar um certificado
Rastreando quem usa o certificado ou o segredo	Monitorar as entradas da entidade de serviço usando os logs de entrada do Microsoft Entra
Não é possível gerir o início de sessão da entidade de serviço com o Acesso Condicional	Monitorar as entradas usando os logs de entrada do Microsoft Entra
Colaborador é a função padrão de controle de acesso baseado em função do Azure (Azure RBAC)	Avalie as necessidades e aplique o mínimo possível de permissões

Saiba mais: O que é o Acesso Condicional?

Mover de uma conta de usuário para uma entidade de serviço

Se estiver a utilizar uma conta de utilizador do Azure como entidade de serviço, avalie se pode mudar para uma identidade gerida ou para uma entidade de serviço. Se você não puder usar uma identidade gerenciada, conceda a uma entidade de serviço permissões e escopo suficientes para executar as tarefas necessárias. Você pode criar uma entidade de serviço registrando um aplicativo ou com o PowerShell.

Ao usar o Microsoft Graph, verifique a documentação da API. Verifique se o tipo de permissão para o aplicativo é suportado.
Consulte, Criar servicePrincipal

Saiba mais:

• Como usar identidades gerenciadas para o Serviço de Aplicativo e o Azure Functions
• Criar uma entidade de serviço e aplicativo Microsoft Entra que possa acessar recursos
• Usar o Azure PowerShell para criar uma entidade de serviço com um certificado

Próximos passos

Saiba mais sobre as entidades de serviço:

• Criar uma entidade de serviço e aplicativo Microsoft Entra que possa acessar recursos
• Registos de inícios de sessão no Microsoft Entra ID

Contas de serviço seguras:

• Proteger contas de serviço baseadas na nuvem
• Protegendo identidades gerenciadas no Microsoft Entra ID
• Governando as contas de serviço do Microsoft Entra
• Protegendo contas de serviço locais

Acesso Condicional:

Use o Acesso Condicional para bloquear entidades de serviço de locais não confiáveis.

Consulte Criar uma política de Acesso Condicional baseada em local