Protegendo identidades gerenciadas no Microsoft Entra ID

Neste artigo, saiba mais sobre como gerenciar segredos e credenciais para proteger a comunicação entre serviços. As identidades gerenciadas fornecem uma identidade gerenciada automaticamente no Microsoft Entra ID. Os aplicativos usam identidades gerenciadas para se conectar a recursos que oferecem suporte à autenticação do Microsoft Entra e para obter tokens do Microsoft Entra, sem gerenciamento de credenciais.

Benefícios das identidades gerenciadas

Benefícios do uso de identidades gerenciadas:

  • Com identidades gerenciadas, as credenciais são totalmente gerenciadas, giradas e protegidas pelo Azure. As identidades são fornecidas e excluídas com recursos do Azure. As identidades gerenciadas permitem que os recursos do Azure se comuniquem com serviços que dão suporte à autenticação do Microsoft Entra.

  • Ninguém, incluindo aqueles a quem foram atribuídas funções privilegiadas, tem acesso às credenciais, que não podem ser acidentalmente vazadas por serem incluídas no código.

Usando identidades gerenciadas

As identidades gerenciadas são melhores para comunicações entre serviços que oferecem suporte à autenticação do Microsoft Entra. Um sistema de origem solicita acesso a um serviço de destino. Qualquer recurso do Azure pode ser um sistema de origem. Por exemplo, uma máquina virtual (VM) do Azure, uma instância do Azure Function e instâncias dos Serviços de Aplicativo do Azure dão suporte a identidades gerenciadas.

Saiba mais no vídeo, Para que pode ser usada uma identidade gerenciada?

Autenticação e autorização

Com identidades gerenciadas, o sistema de origem obtém um token do Microsoft Entra ID sem gerenciamento de credenciais de proprietário. O Azure gerencia as credenciais. Os tokens obtidos pelo sistema de origem são apresentados ao sistema de destino para autenticação.

O sistema de destino autentica e autoriza o sistema de origem a permitir o acesso. Se o serviço de destino oferecer suporte à autenticação do Microsoft Entra, ele aceitará um token de acesso emitido pela ID do Microsoft Entra.

O Azure tem um plano de controle e um plano de dados. Você cria recursos no plano de controle e acessa-os no plano de dados. Por exemplo, você cria um banco de dados do Azure Cosmos DB no plano de controle, mas o consulta no plano de dados.

Depois que o sistema de destino aceita o token para autenticação, ele suporta mecanismos de autorização para seu plano de controle e plano de dados.

As operações do plano de controle do Azure são gerenciadas pelo Azure Resource Manager e usam o controle de acesso baseado em função do Azure (Azure RBAC). No plano de dados, os sistemas de destino têm mecanismos de autorização. O Armazenamento do Azure dá suporte ao RBAC do Azure no plano de dados. Por exemplo, os aplicativos que usam os Serviços de Aplicativo do Azure podem ler dados do Armazenamento do Azure e os aplicativos que usam o Serviço Kubernetes do Azure podem ler segredos armazenados no Cofre de Chaves do Azure.

Saiba mais:

Identidades gerenciadas atribuídas pelo sistema e pelo usuário

Existem dois tipos de identidades gerenciadas, atribuídas pelo sistema e pelo usuário.

Identidade gerenciada atribuída ao sistema:

  • Relação um-para-um com o recurso do Azure
    • Por exemplo, há uma identidade gerenciada exclusiva associada a cada VM
  • Vinculado ao ciclo de vida do recurso do Azure. Quando o recurso é excluído, a identidade gerenciada associada a ele é excluída automaticamente.
  • Esta ação elimina o risco de contas órfãs

Identidade gerida atribuída pelo utilizador

  • O ciclo de vida é independente de um recurso do Azure. Você gerencia o ciclo de vida.
    • Quando o recurso do Azure é excluído, a identidade gerenciada atribuída pelo usuário não é excluída automaticamente
  • Atribuir identidade gerenciada atribuída pelo usuário a zero ou mais recursos do Azure
  • Crie uma identidade com antecedência e, em seguida, atribua-a a um recurso mais tarde

Localizar entidades de serviço de identidade gerenciadas no Microsoft Entra ID

Para encontrar identidades gerenciadas, você pode usar:

  • Página de aplicativos empresariais no portal do Azure
  • Microsoft Graph

O portal do Azure

  1. No portal do Azure, na navegação à esquerda, selecione Microsoft Entra ID.

  2. No painel de navegação esquerdo, selecione Aplicativos corporativos.

  3. Na coluna Tipo de aplicativo , em Valor, selecione a seta para baixo para selecionar Identidades gerenciadas.

    Captura de ecrã da opção Identidades Geridas em Valores, na coluna Tipo de aplicação.

Microsoft Graph

Use a seguinte solicitação GET para o Microsoft Graph para obter uma lista de identidades gerenciadas em seu locatário.

https://graph.microsoft.com/v1.0/servicePrincipals?$filter=(servicePrincipalType eq 'ManagedIdentity')

Você pode filtrar essas solicitações. Para obter mais informações, consulte GET servicePrincipal.

Avalie a segurança de identidade gerenciada

Para avaliar a segurança de identidade gerenciada:

  • Examinar privilégios para garantir que o modelo menos privilegiado seja selecionado

    • Use o seguinte cmdlet do Microsoft Graph para obter as permissões atribuídas às suas identidades gerenciadas:

    Get-MgServicePrincipalAppRoleAssignment -ServicePrincipalId <String>

  • Verifique se a identidade gerenciada não faz parte de um grupo privilegiado, como um grupo de administradores.

    • Para enumerar os membros de seus grupos altamente privilegiados com o Microsoft Graph:

    Get-MgGroupMember -GroupId <String> [-All <Boolean>] [-Top <Int32>] [<CommonParameters>]

Mover para identidades gerenciadas

Se você estiver usando uma entidade de serviço ou uma conta de usuário do Microsoft Entra, avalie o uso de identidades gerenciadas. Você pode eliminar a necessidade de proteger, girar e gerenciar credenciais.

Próximos passos

Contas de serviço