分享方式:


控管 Microsoft Entra 服務帳戶

Microsoft Entra ID 中的服務帳戶類型有三種:受控識別、服務主體,以及作為服務帳戶使用的使用者帳戶。 當您建立服務帳戶以供自動化使用時,系統會授與這些服務帳戶存取 Azure 和 Microsoft Entra ID 中資源的權限。 資源可以包含 Microsoft 365 服務、軟體即服務 (SaaS) 應用程式、自訂應用程式、資料庫、HR 系統等等。 控管 Microsoft Entra 服務帳戶會管理建立、權限及生命週期,以確保安全性和持續性。

深入了解:

注意

不建議將使用者帳戶當作服務帳戶,因為其安全性較低。 這包括已同步處理至 Microsoft Entra ID 的內部部署服務帳戶,因為其不會轉換為服務主體。 相反地,建議使用受控識別或服務主體,並使用條件式存取。

深入了解:什麼是條件式存取?(部分機器翻譯)

規劃服務帳戶

建立服務帳戶或註冊應用程式之前,先記錄服務帳戶金鑰資訊。 使用資訊來監視和控管帳戶。 建議您在集中式設定管理資料庫 (CMDB) 中收集下列資料並加以追蹤。

資料 描述 詳細資料
擁有者 負責管理和監視服務帳戶的使用者或群組 授與擁有者權限來監視帳戶並實作問題風險降低的方式。 問題風險降低會由擁有者或透過向 IT 小組要求來完成。
目的 帳戶的使用方式 將服務帳戶對應至服務、應用程式或指令碼。 避免建立多用途的服務帳戶。
權限 (範圍) 預期的權限集合 記錄其存取的資源,以及那些資源的權限
CMDB 連結 連結至存取的資源,以及使用服務帳戶的指令碼 記錄資源和指令碼擁有者以傳達變更的效果
風險評估 帳戶遭到入侵時的風險和業務效果 使用此資訊來縮小權限的範圍,並決定存取資訊的權限
檢閱期間 擁有者檢閱服務帳戶的節奏 檢閱通訊和評論。 記錄在排程檢閱期間之後執行檢閱時會發生什麼情況。
存留期 預期的帳戶存留期上限 使用此測量來排程與擁有者的通訊、停用,然後刪除帳戶。 設定認證到期日,以防止認證自動變換。
名稱 標準化的帳戶名稱 建立服務帳戶的命名慣例,以搜尋、排序和篩選它們

最低權限準則

授與服務帳戶執行工作所需的權限,僅此而已。 如果服務帳戶需要高階權限,請評估原因並嘗試減少權限。

建議您針對服務帳戶權限採用下列做法。

權限

Get-MgDirectoryRoleMember,並篩選 objectType「服務主體」,或使用
Get-MgServicePrincipal | % { Get-MgServicePrincipalAppRoleAssignment -ObjectId $_ }

  • 請參閱權限和同意介紹,來限制服務帳戶可在資源上存取的功能
  • 服務主體和受控識別可以在模擬已登入使用者的委派內容中使用 Open Authorization (OAuth) 2.0 範圍,或在應用程式內容中作為服務帳戶。 在應用程式內容中,沒有任何登入。
  • 確認資源的範圍服務帳戶要求
  • 確定您信任具有要求存取權的應用程式開發人員或 API

期間

  • 將服務帳戶認證 (用戶端密碼、憑證) 限制為預期的使用期限
  • 排程定期檢閱服務帳戶的使用方式和用途
    • 確定檢閱會在帳戶到期前發生

了解用途、範圍及權限之後,建立您的服務帳戶,使用下列文章中的指示。

可能的話,請使用受控識別。 如果您無法使用受控識別,請使用服務主體。 如果您無法使用服務主體,則使用 Microsoft Entra 使用者帳戶。

建立生命週期程序

服務帳戶生命週期是從規劃開始,並以永久刪除做為結束。 下列各節說明您如何監視、檢閱權限、判斷持續的帳戶使用方式,最後取消佈建帳戶。

監視服務帳戶

監視您的服務帳戶,以確保使用模式正確,並使用了服務帳戶。

收集和監視服務帳戶登入

使用下列其中一個監視方法:

使用下列螢幕擷取畫面來查看服務主體登入。

服務主體登入的螢幕擷取畫面。

登入記錄詳細資料

在登入記錄中尋找下列詳細資料。

  • 未登入租用戶的服務帳戶
  • 登入服務帳戶模式中的變更

建議您匯出 Microsoft Entra 登入記錄,然後將其匯入至安全性資訊與事件管理 (SIEM) 工具,例如 Microsoft Sentinel。 使用 SIEM 工具來建置警示和儀表板。

檢閱服務帳戶權限

定期檢閱服務帳戶權限和存取範圍,以查看是否可將其減少或消除。

重新認證服務帳戶的使用

建立定期檢閱流程,以確保擁有者、安全性小組或 IT 小組可定期檢閱服務帳戶。

流程包括:

  • 判斷服務帳戶檢閱週期,並將其記錄在您的 CMDB 中
  • 檢閱之前,與擁有者、安全性小組、IT 小組進行通訊
  • 判斷錯過了檢閱時的警告通訊及其時間
  • 當擁有者無法檢閱或回應時的指示
    • 在檢閱完成前,停用 (但不刪除) 帳戶
  • 判斷相依性的指示。 通知資源擁有者效果

檢閱包括擁有者和 IT 合作夥伴,並認證:

  • 需要帳戶
  • 對帳戶的權限已足夠且必要,或要求變更
  • 對帳戶的存取權及其認證會受到控制
  • 帳戶認證正確:認證類型和存留期
  • 帳戶風險分數自上次重新認證後並未變更
  • 更新預期的帳戶存留期和下一個重新認證日期

取消佈建服務帳戶

在下列情況下,取消佈建服務帳戶:

  • 帳戶指令碼或應用程式已淘汰
  • 帳戶指令碼或應用程式功能已淘汰。 例如,存取資源。
  • 服務帳戶會由另一個服務帳戶取代
  • 認證已過期,或帳戶無法正常運作,而且沒有任何抱怨

取消佈建包括下列工作:

取消佈建相關聯的應用程式或指令碼之後:

  • Microsoft Entra ID 中的登入記錄和服務帳戶存取的資源
    • 如果帳戶在使用中,先決定其使用方式,然後再繼續
  • 針對受控服務識別,則會停用服務帳戶登入,但不要將其從目錄中移除
  • 撤銷服務帳戶角色指派和 OAuth2 同意授與
  • 在定義的期間,以及對擁有者的警告之後,將該服務帳戶從目錄中刪除

下一步