Řízení účtů služby Microsoft Entra
V Microsoft Entra ID existují tři typy účtů služeb: spravované identity, instanční objekty a uživatelské účty používané jako účty služeb. Když vytváříte účty služeb pro automatizované použití, udělí se jim oprávnění pro přístup k prostředkům v Azure a ID Microsoft Entra. Mezi prostředky můžou patřit služby Microsoftu 365, aplikace SaaS (software jako služba), vlastní aplikace, databáze, systémy hr atd. Řízení účtu služby Microsoft Entra spravuje vytváření, oprávnění a životní cyklus, aby se zajistilo zabezpečení a kontinuita.
Další informace:
Poznámka:
Uživatelské účty nedoporučujeme jako účty služeb, protože jsou méně zabezpečené. To zahrnuje místní účty služeb synchronizované s ID Microsoft Entra, protože se nepřevedou na instanční objekty. Místo toho doporučujeme spravované identity nebo instanční objekty a použití podmíněného přístupu.
Další informace: Co je podmíněný přístup?
Plánování účtu služby
Před vytvořením účtu služby nebo registrací aplikace si zdokumentujte informace o klíči účtu služby. Informace slouží k monitorování a řízení účtu. Doporučujeme shromažďovat následující data a sledovat je ve vaší centralizované databázi správy konfigurace (CMDB).
| Data | Popis | Detaily |
|---|---|---|
| Vlastník | Uživatel nebo skupina zodpovídají za správu a monitorování účtu služby | Udělte vlastníkovi oprávnění k monitorování účtu a implementaci způsobu zmírnění problémů. Zmírnění problému provádí vlastník nebo žádost it týmu. |
| Účel | Způsob použití účtu | Namapujte účet služby na službu, aplikaci nebo skript. Vyhněte se vytváření účtů služby s víceuse. |
| Oprávnění (obory) | Očekávaná sada oprávnění | Zdokumentujte prostředky, ke které přistupuje, a oprávnění k těmto prostředkům. |
| Odkaz CMDB | Propojení s přístupnými prostředky a skripty, ve kterých se účet služby používá | Zdokumentujte vlastníky prostředků a skriptů, aby komunikují s účinky změn. |
| Posouzení rizik | Riziko a obchodní účinek, pokud dojde k ohrožení zabezpečení účtu | Použití informací k zúžení rozsahu oprávnění a určení přístupu k informacím |
| Období ke kontrole | Četnost kontrol účtů služeb vlastníkem | Zkontrolujte komunikaci a recenze. Zdokumentujte, co se stane, když se kontrola provede po naplánovaném období kontroly. |
| Životnost | Očekávaná maximální životnost účtu | Pomocí tohoto měření naplánujte komunikaci s vlastníkem, zakažte a pak účty odstraňte. Nastavte datum vypršení platnosti přihlašovacích údajů, které brání jejich automatickému vrácení. |
| Název | Standardizovaný název účtu | Vytvoření konvence vytváření názvů pro účty služeb pro vyhledávání, řazení a filtrování |
Princip nejnižších oprávnění
Udělte účtu služby oprávnění potřebná k provádění úloh a už žádné další. Pokud účet služby potřebuje oprávnění vysoké úrovně, vyhodnoťte, proč a zkuste snížit oprávnění.
Pro oprávnění účtu služby doporučujeme následující postupy.
Oprávnění
- Nepřiřazovat předdefinované role k účtům služeb
- Zobrazit,
oAuth2PermissionGranttyp prostředku
- Zobrazit,
- Instančnímu objektu je přiřazena privilegovaná role.
- Nezahrnujte účty služeb jako členy žádné skupiny se zvýšenými oprávněními.
Get-MgDirectoryRoleMembera vyfiltrujte typ objektu "Instanční objekt" nebo použijteGet-MgServicePrincipal | % { Get-MgServicePrincipalAppRoleAssignment -ObjectId $_ }
- Přečtěte si článek Úvod k oprávněním a vyjádření souhlasu s omezením funkčnosti, ke které má účet služby přístup k prostředku.
- Instanční objekty a spravované identity můžou používat obory Open Authorization (OAuth) 2.0 v delegovaném kontextu zosobnění přihlášeného uživatele nebo jako účet služby v kontextu aplikace. V kontextu aplikace není nikdo přihlášený.
- Potvrzení žádosti o účty služby oborů pro prostředky
- Pokud účet požaduje soubory.ReadWrite.All, vyhodnoťte, jestli potřebuje File.Read.All.
- Referenční informace o oprávněních Microsoft Graphu
- Ujistěte se, že vývojáři aplikací nebo rozhraní API důvěřujete s požadovaným přístupem.
Doba trvání
- Omezení přihlašovacích údajů účtu služby (tajný klíč klienta, certifikát) na očekávané období využití
- Plánování pravidelných kontrol využití a účelu účtu služby
- Ujistěte se, že před vypršením platnosti účtu dochází k kontrolám.
Po pochopení účelu, rozsahu a oprávnění vytvořte účet služby podle pokynů v následujících článcích.
- Jak používat spravované identity pro App Service a Azure Functions
- Vytvoření aplikace Microsoft Entra a instančního objektu, který má přístup k prostředkům
Pokud je to možné, použijte spravovanou identitu. Pokud nemůžete použít spravovanou identitu, použijte instanční objekt. Pokud nemůžete použít instanční objekt, použijte uživatelský účet Microsoft Entra.
Vytvoření procesu životního cyklu
Životní cyklus účtu služby začíná plánováním a končí trvalým odstraněním. Následující části obsahují informace o tom, jak monitorovat, kontrolovat oprávnění, určovat trvalé využití účtu a nakonec zrušit zřízení účtu.
Monitorování účtů služby
Monitorujte účty služeb, abyste měli jistotu, že jsou správné vzorce použití a že se používá účet služby.
Shromažďování a monitorování přihlášení k účtu služby
Použijte jednu z následujících metod monitorování:
- Protokoly přihlašování Microsoft Entra na webu Azure Portal
- Export protokolů přihlašování Microsoft Entra do
- Dokumentace ke službě Azure Storage
- Dokumentace ke službě Azure Event Hubs nebo
- Přehled protokolů Azure Monitoru
Pomocí následujícího snímku obrazovky zobrazte přihlášení instančního objektu.
Podrobnosti protokolu přihlášení
V protokolech přihlašování vyhledejte následující podrobnosti.
- Účty služeb se nepřihlásily k tenantovi
- Změny ve vzorech účtu přihlašovací služby
Doporučujeme exportovat protokoly přihlášení Microsoft Entra a pak je importovat do nástroje pro správu událostí (SECURITY Information and Event Management), jako je Microsoft Sentinel. Pomocí nástroje SIEM můžete vytvářet výstrahy a řídicí panely.
Kontrola oprávnění účtu služby
Pravidelně kontrolujte oprávnění účtu služby a přístup k oborům, abyste zjistili, jestli se dají omezit nebo odstranit.
- Viz, Get-MgServicePrincipalOauth2PermissionGrant
AzureADAssessmentZobrazit a potvrdit platnost- Nenastavujte přihlašovací údaje instančního objektu na nikdy nevyprší.
- Pokud je to možné, použijte certifikáty nebo přihlašovací údaje uložené ve službě Azure Key Vault.
Opětovné certifikace použití účtu služby
Vytvořte pravidelný proces kontroly, abyste měli jistotu, že účty služeb pravidelně kontrolují vlastníci, bezpečnostní tým nebo IT tým.
Proces zahrnuje:
- Určení cyklu kontroly účtu služby a jeho dokument v CMDB
- Komunikace s vlastníkem, týmem zabezpečení, IT týmem před kontrolou
- Určení upozornění a jejich načasování, pokud se kontrola nezmešká
- Pokyny, pokud se vlastníkům nepodaří zkontrolovat nebo odpovědět
- Zakažte účet, ale neodstraňovat ho, dokud se kontrola nedokončí
- Pokyny k určení závislostí Upozorňovat vlastníky prostředků na účinky
Kontrola zahrnuje vlastníka a it partnera a certifikuje:
- Účet je nutný.
- Oprávnění k účtu jsou odpovídající a nezbytná nebo je požadována změna.
- Přístup k účtu a jeho přihlašovací údaje jsou řízeny.
- Přihlašovací údaje účtu jsou přesné: typ a životnost přihlašovacích údajů
- Skóre rizika účtu se od předchozí opětovné certifikace nezměnilo.
- Aktualizace očekávané doby životnosti účtu a dalšího data opětovné certifikace
Zrušení zřízení účtů služby
Zrušení zřízení účtů služby za následujících okolností:
- Skript účtu nebo aplikace se vyřadí z důchodu
- Skript účtu nebo funkce aplikace se vyřadí z důchodu. Například přístup k prostředku.
- Účet služby se nahrazuje jiným účtem služby.
- Vypršela platnost přihlašovacích údajů nebo účet není funkční a neexistují žádné stížnosti
Zrušení zřízení zahrnuje následující úlohy:
Po zrušení zřízení přidružené aplikace nebo skriptu:
- Protokoly přihlášení v Microsoft Entra ID a přístupu k prostředkům pomocí účtu služby
- Pokud je účet aktivní, před pokračováním zjistěte, jak se používá.
- V případě identity spravované služby zakažte přihlášení k účtu služby, ale neodeberte ho z adresáře.
- Odvolání přiřazení rolí účtu služby a udělení souhlasu OAuth2
- Po definovaném období a upozornění pro vlastníky odstraňte účet služby z adresáře.