有三種 Microsoft Entra ID 原生的服務帳戶類型:受控身份、服務主體和用戶型服務帳戶。 服務帳戶是特殊類型的帳戶,旨在代表非人類實體,例如應用程式、API 或其他服務。 這些實體在服務帳戶所提供的安全背景下運作。
Microsoft Entra 服務帳戶的類型
針對裝載在 Azure 中的服務,建議您盡可能使用受控識別,如果不是,則使用服務主體。 受控識別無法用於裝載於 Azure 外部的服務。 在此情況下,我們建議使用服務主體。 如果您可以使用受控識別或服務主體,請執行此動作。 我們建議您不要使用 Microsoft Entra 使用者帳戶作為服務帳戶。 如需摘要,請參閱下表。
| 服務託管 | 受管理的識別 | 服務主體 | Azure 用戶帳戶 |
|---|---|---|---|
| 服務裝載於 Azure 中。 | 是的。 如果服務是建議的 支援受控識別。 |
是的。 | 不建議使用。 |
| 服務未裝載於 Azure 中。 | 否 | 是的。 推薦。 | 不建議使用。 |
| 服務是多租戶 | 否 | 是的。 推薦。 | 否。 |
受管理的身分識別
受控身分識別是安全的 Microsoft Entra 身分識別,專為提供 Azure 資源的身分識別而建立。 受控身分識別有兩種類型:
系統指派的受控識別可以直接指派給服務的執行個體。
使用者指派的受控識別可以建立為獨立資源。
如需詳細資訊,請參閱 保護受控識別。 如需受控識別的一般資訊,請參閱 什麼是 Azure 資源的受控識別?
服務主體
如果您無法使用受控識別來代表您的應用程式,請使用服務主體。 服務主體可以與單一租使用者和多租使用者應用程式搭配使用。
服務主體是在單一Microsoft Entra租戶中應用程式物件的當地表現形式。 它會做為應用程式實例的身分識別、定義誰可以存取應用程式,以及應用程式可以存取哪些資源。 服務主體會在每個使用應用程式的租用戶中建立,並參考全域唯一的應用程式物件。 租用戶會確保服務主體的登入和資源存取的安全。
使用服務主體進行驗證的機制有兩種:客戶端憑證和客戶端密碼。 憑證更安全:盡可能使用客戶端憑證。 不同於客戶端機密,客戶端憑證不會不小心嵌入代碼中。
如需保護服務主體的資訊,請參閱 保護服務主體。
後續步驟
如需保護 Azure 服務帳戶的詳細資訊,請參閱: