Como governar as contas de serviço do Microsoft Entra

Há três tipos de contas de serviço no Microsoft Entra ID: identidades gerenciadas, entidades de serviços e contas de usuário utilizadas como contas de serviço. Quando você cria essas contas de serviço para uso automático, elas recebem permissões para acessar recursos no Azure e no Microsoft Entra ID. Os recursos podem incluir serviços do Microsoft 365, aplicativos SaaS (software como serviço), aplicativos personalizados, bancos de dados, sistemas de RH e assim por diante. Administrar uma conta de serviço do Microsoft Entra significa gerenciar a criação, as permissões e o ciclo de vida para garantir a segurança e a continuidade.

Saiba mais:

Observação

Não recomendamos o uso de contas de usuário como contas de serviço, pois elas são menos seguras. Isso inclui contas de serviço locais que são sincronizadas com o Microsoft Entra ID, pois elas não são convertidas em entidades de serviço. Em vez disso, recomendamos o uso de identidades gerenciadas ou entidades de serviço e o uso do Acesso Condicional.

Saiba mais sobre: O que é o Acesso Condicional?

Planejar sua conta de serviço

Antes de criar uma conta de serviço ou registrar um aplicativo, documente as informações chave da conta de serviço. Use as informações para monitorar e administrar a conta. É recomendável coletar os dados a seguir e controlá-los no seu CMDB (Banco de Dados de Gerenciamento de Configuração) centralizado.

Dados Descrição Detalhes
Proprietário Usuário ou grupo responsável por gerenciar e monitorar a conta de serviço Conceder ao proprietário as permissões necessárias para monitorar a conta e implementar uma maneira de mitigar os problemas. A mitigação do problema é feita pelo proprietário ou por solicitação a uma equipe de TI.
Finalidade Como a conta do serviço é utilizada Vincule a conta de serviço a um serviço, aplicativo ou script. Evite criar contas de serviço de uso múltiplo.
Permissões (Escopos) Conjunto de permissões antecipado Documente os recursos acessados e as permissões para esses recursos
Link do CMDB Link para os recursos a serem acessados e scripts nos quais a conta de serviço é usada Documente os proprietários de recursos e scripts para comunicar os efeitos da alteração
Avaliação de risco Risco e efeito comercial, se a conta estiver comprometida Use essas informações para restringir o escopo de permissões e determinar quem deve ter acesso às informações da conta
Período para revisão A ritmo das revisões da conta de serviço, pelo proprietário Examine as comunicações e as revisões. Documente o que acontecer se a revisão não for executada após o período de revisão agendado.
Tempo de vida Tempo de vida máximo previsto da conta Use-o para agendar comunicações com o proprietário e, por fim, desabilitar e excluir as contas. Defina uma data de validade para credenciais para impedir que sejam roladas automaticamente.
Nome Nome padronizado da conta Crie uma convenção de nomenclatura para contas de serviço para pesquisá-las, classificá-las e filtrá-las

Princípio de privilégios mínimos

Conceda à conta de serviço somente as permissões necessárias para executar suas tarefas e não mais que isso. Se uma conta de serviço precisar de permissões de alto nível, avalie o motivo e tente reduzir as permissões.

Recomendamos as práticas a seguir para privilégios de conta de serviço.

Permissões

Get-MgDirectoryRoleMembere filtre por objectType "Entidade de Serviço" ou use
Get-MgServicePrincipal | % { Get-MgServicePrincipalAppRoleAssignment -ObjectId $_ }

  • Confira Introdução às permissões e consentimento para limitar a funcionalidade que uma conta de serviço pode acessar em um recurso
  • As entidades de serviço e as identidades gerenciadas podem usar escopos OAuth (Open Authorization) 2.0 em um contexto delegado representando um usuário conectado ou como uma conta de serviço no contexto do aplicativo. No contexto do aplicativo, ninguém está conectado.
  • Verifique os escopos de solicitação das contas de serviço para obter recursos
  • Verifique se pode confiar no desenvolvedor do aplicativo ou na API com o acesso solicitado

Duration

  • Limite as credenciais de conta de serviço (segredo do cliente, certificado) a um período de uso previsto
  • Agende revisões periódicas do uso e finalidade da conta de serviço
    • Garanta que as revisões ocorram antes da expiração da conta

Depois de ter uma ideia clara da finalidade, do escopo e das permissões, crie sua conta de serviço, usando as instruções nos artigos a seguir.

Use uma identidade gerenciada quando possível. Se você não puder usar uma identidade gerenciada, use uma entidade de serviço. Se você não puder usar uma entidade de serviço, use uma conta de usuário do Microsoft Entra.

Criar um processo de ciclo de vida

O gerenciamento do ciclo de vida de uma conta de serviço tem início com o planejamento e termina com sua exclusão permanente. As seções a seguir abordam como monitorar, examinar permissões, determinar o uso contínuo da conta e, por fim, desprovisionar a conta.

Monitorar as contas de serviço

Monitore suas contas de serviço para garantir que os padrões de uso estejam corretos e que a conta de serviço seja usada.

Coletar e monitorar entradas na conta de serviço

Use um dos seguintes método de monitoramento:

Use a captura de tela a seguir para ver as entradas da entidade de serviço.

Captura de tela das entradas da entidade de serviço.

Detalhes do log de entrada

Procure os detalhes a seguir nos logs de entrada.

  • Contas de serviço não conectadas ao locatário
  • Alterações nos padrões de entrada da conta de serviço

Recomendamos exportar os logs de entrada do Microsoft Entra e importá-los para uma ferramenta SIEM (gerenciamento de eventos e informações de segurança), como o Microsoft Sentinel. Use a ferramenta SIEM para criar alertas e painéis.

Revisar as permissões da conta de serviço

Revise regularmente as permissões concedidas e os escopos acessados pelas contas de serviço para ver se eles podem ser reduzidos ou eliminados.

Recertificar o uso da conta de serviço

Estabeleça um processo regular de revisão para garantir que as contas de serviço sejam examinadas regularmente por seus proprietários e pela equipe de segurança de TI em intervalos regulares.

Esse processo inclui:

  • Determinar o ciclo de revisão da conta de serviço e documente-o em seu CMDB
  • Comunicações com o proprietário, a equipe de segurança, a equipe de TI, antes de uma revisão
  • Determinar as comunicações de aviso e seu agendamento, se a revisão for ignorada
  • As instruções sobre o que fazer se os proprietários não conseguirem revisar ou responder
    • Desabilitar, mas não excluir, a conta até que a revisão seja concluída
  • Instruções para determinar dependências. Notificar os proprietários de recursos dos efeitos

A revisão inclui o proprietário e um parceiro de TI para garantir que:

  • A conta é necessária
  • As permissões concedidas à conta são adequadas e necessárias, ou uma alteração foi solicitada
  • O acesso à conta e suas credenciais são controlados
  • As credenciais da conta são precisas: tipo de credencial e tempo de vida
  • A pontuação de risco da conta não foi alterada desde a recertificação anterior
  • Atualizar o tempo de vida esperado da conta e a próxima data de recertificação

Desprovisionar contas de serviço

Desprovisione as contas de serviço nas seguintes circunstâncias:

  • O script ou o aplicativo da conta foi desativado
  • O script da conta ou a função de aplicativo foram desativados. Por exemplo, acesso a um recurso.
  • A conta de serviço foi substituída por outra conta de serviço
  • As credenciais expiraram ou a conta não está funcional, e não há nenhuma reclamação

O desprovisionamento inclui as seguintes tarefas:

Depois que o aplicativo ou script associados forem desprovisionados:

  • Logs de entrada no Microsoft Entra ID e acesso a recursos pela conta de serviço
    • Se a conta ainda estiver ativa, determine como ela está sendo usada antes de realizar as etapas subsequentes
  • Se essa for uma identidade de serviço gerenciada, desabilite a entrada na conta de serviço, mas não a remova do diretório
  • Revogue atribuições de função e concessões de consentimento OAuth2 para a conta de serviço
  • Após um período definido e um aviso aos proprietários, exclua a conta de serviço do diretório

Próximas etapas