Szolgáltatásnevek védelme a Microsoft Entra-azonosítóban
A Microsoft Entra szolgáltatásnév egy alkalmazásobjektum helyi ábrázolása egy bérlőben vagy címtárban. Ez az alkalmazáspéldány identitása. A szolgáltatásnevek határozzák meg az alkalmazás hozzáférését és az alkalmazás által elért erőforrásokat. Minden bérlőben létrejön egy szolgáltatásnév, ahol az alkalmazást használják, és a globálisan egyedi alkalmazásobjektumra hivatkozik. A bérlő biztosítja a szolgáltatásnév bejelentkezését és az erőforrásokhoz való hozzáférést.
További információ: Alkalmazás- és szolgáltatásnév-objektumok a Microsoft Entra-azonosítóban
Bérlő-szolgáltatásnév kapcsolatok
Az egybérlős alkalmazások egyetlen szolgáltatásnévvel rendelkeznek az otthoni bérlőben. A több-bérlős webalkalmazások vagy API-k minden bérlőben egy szolgáltatásnevet igényelnek. Szolgáltatásnév akkor jön létre, ha a bérlő egy felhasználója hozzájárul az alkalmazás vagy AZ API használatához. Ez a hozzájárulás egy-a-többhöz kapcsolatot hoz létre a több-bérlős alkalmazás és a hozzá tartozó szolgáltatásnevek között.
A több-bérlős alkalmazások egy bérlőben vannak otthon, és más bérlők példányai is vannak. A legtöbb szolgáltatott szoftveres (SaaS-) alkalmazás több bérlős helyet foglal el. Szolgáltatásnevek használatával biztosíthatja az alkalmazás és a felhasználók számára szükséges biztonsági helyzetet egy- és több-bérlős forgatókönyvekben.
ApplicationID és ObjectID
Az alkalmazáspéldánynak két tulajdonsága van: az ApplicationID (vagy ClientID) és az ObjectID.
Megjegyzés:
Az alkalmazás és a szolgáltatásnév kifejezéseket a rendszer felcserélve használja, amikor egy alkalmazásra hivatkozik a hitelesítési feladatokban. Ezek azonban a Microsoft Entra-azonosítóban található alkalmazások két reprezentációja.
Az ApplicationID a globális alkalmazást jelöli, és ugyanaz az alkalmazáspéldányok esetében a bérlők között. Az ObjectID egy alkalmazásobjektum egyedi értéke. A felhasználókhoz, csoportokhoz és egyéb erőforrásokhoz hasonlóan az ObjectID segít azonosítani egy alkalmazáspéldányt a Microsoft Entra ID-ban.
További információ: Alkalmazás- és szolgáltatásnév-kapcsolat a Microsoft Entra-azonosítóban
Alkalmazás és szolgáltatásnév objektumának létrehozása
Létrehozhat egy alkalmazást és annak szolgáltatásnév-objektumát (ObjectID) a bérlőben az alábbiak használatával:
- Azure PowerShell
- Microsoft Graph PowerShell
- Azure parancssori felület (Azure CLI)
- Microsoft Graph API
- The Azure portal
- Other tools
Egyszerű szolgáltatás hitelesítése
A hitelesítésnek két mechanizmusa van: az ügyféltanúsítványok és az ügyfél titkos kulcsok használata esetén.
Mivel a tanúsítványok biztonságosabbak, javasoljuk, hogy ha lehetséges, használja őket. Az ügyfélkódokkal ellentétben az ügyféltanúsítványok nem ágyazhatók be kódba, véletlenül. Ha lehetséges, az Azure Key Vault használatával tanúsítvány- és titkos kulcskezeléssel titkosíthatja az objektumokat hardveres biztonsági modulok által védett kulcsokkal:
- Hitelesítési kulcsok
- Tárfiókkulcsok
- Adattitkosítási kulcsok
- .pfx-fájlok
- Jelszavak
Az Azure Key Vaultról és a tanúsítvány- és titkos kulcskezelésről a következő témakörben talál további információt:
Kihívások és kockázatcsökkentések
Szolgáltatásnevek használata esetén az alábbi táblázat segítségével feleljen meg a kihívásoknak és a kockázatcsökkentéseknek.
| Feladat | Mitigation |
|---|---|
| Hozzáférési felülvizsgálatok a kiemelt szerepkörökhöz rendelt szolgáltatásnevekhez | Ez a funkció előzetes verzióban érhető el |
| Szolgáltatásnév-hozzáférési felülvizsgálatok | Erőforrás-hozzáférés-vezérlési lista manuális ellenőrzése az Azure Portal használatával |
| Túlengedélyezett szolgáltatásnevek | Automatizálási szolgáltatásfiókok vagy szolgáltatásnevek létrehozásakor adjon engedélyeket a feladathoz. A szolgáltatásnevek kiértékelése a jogosultságok csökkentése érdekében. |
| A szolgáltatásnév hitelesítő adatainak vagy hitelesítési módszereinek módosításainak azonosítása | - Lásd: Bizalmas műveletek jelentés munkafüzete – Tekintse meg a Tech Community blogbejegyzést, a Microsoft Entra munkafüzetet, amely segít felmérni a Solorigate kockázatát |
Fiókok keresése szolgáltatásnevek használatával
Fiókok kereséséhez futtassa az alábbi parancsokat szolgáltatásnevek használatával az Azure CLI-vel vagy a PowerShell-lel.
- Azure CLI –
az ad sp list - Powershell-
Get-MgServicePrincipal -All:$true
További információ: Get-MgServicePrincipal
Szolgáltatásnév biztonságának felmérése
A biztonság értékeléséhez értékelje ki a jogosultságokat és a hitelesítő adatok tárolását. A kihívások megoldásához használja az alábbi táblázatot:
| Feladat | Mitigation |
|---|---|
| Észleli a több-bérlős alkalmazáshoz hozzájáruló felhasználót, és észleli a több-bérlős alkalmazásokhoz adott tiltott hozzájárulásokat | – Futtassa a következő PowerShellt a több-bérlős alkalmazások megkereséséhez Get-MgServicePrincipal -All:$true | ? {$_.Tags -eq "WindowsAzureActiveDirectoryIntegratedApp"}- Felhasználói hozzájárulás letiltása – Felhasználói hozzájárulás engedélyezése ellenőrzött közzétevőktől a kiválasztott engedélyekhez (ajánlott) – Konfigurálásuk a felhasználói környezetben – A jogkivonatokkal aktiválhatja a szolgáltatásnevet |
| Szigorúan kódolt megosztott titkos kód használata egy szkriptben szolgáltatásnév használatával | Tanúsítvány használata |
| Annak nyomon követése, hogy ki használja a tanúsítványt vagy a titkos kulcsot | A szolgáltatásnév-bejelentkezések monitorozása a Microsoft Entra bejelentkezési naplóival |
| A szolgáltatásnév feltételes hozzáféréssel való bejelentkezése nem kezelhető | Bejelentkezések monitorozása a Microsoft Entra bejelentkezési naplóival |
| A közreműködő az Alapértelmezett Azure szerepköralapú hozzáférés-vezérlési (Azure RBAC) szerepkör | Az igények kiértékelése és a lehető legkisebb engedélyek alkalmazása |
További információ: Mi a feltételes hozzáférés?
Váltás felhasználói fiókról szolgáltatásnévre
Ha azure-beli felhasználói fiókot használ szolgáltatásnévként, értékelje ki, hogy át tud-e lépni egy felügyelt identitásra vagy szolgáltatásnévre. Ha nem tud felügyelt identitást használni, adjon meg egy szolgáltatásnévnek elegendő engedélyt és hatókört a szükséges feladatok futtatásához. Szolgáltatásnév létrehozásához regisztrálhat egy alkalmazást vagy a PowerShellt.
A Microsoft Graph használatakor tekintse meg az API dokumentációját. Győződjön meg arról, hogy az alkalmazás engedélytípusa támogatott.
Lásd: ServicePrincipal létrehozása
További információ:
- Felügyelt identitások használata az App Service-hez és az Azure Functionshez
- Erőforrásokhoz hozzáférő Microsoft Entra-alkalmazás és szolgáltatásnév létrehozása
- Szolgáltatásnév létrehozása tanúsítványsal az Azure PowerShell használatával
További lépések
További információ a szolgáltatásnevekről:
- Erőforrásokhoz hozzáférő Microsoft Entra-alkalmazás és szolgáltatásnév létrehozása
- Bejelentkezési naplók a Microsoft Entra ID-ban
Biztonságos szolgáltatásfiókok:
- Felhőalapú szolgáltatásfiókok védelme
- Felügyelt identitások védelme a Microsoft Entra-azonosítóban
- A Microsoft Entra szolgáltatásfiókjainak szabályozása
- Helyszíni szolgáltatásfiókok biztonságossá tétele
Feltételes hozzáférés:
A feltételes hozzáféréssel letilthatja a szolgáltatásnevek nem megbízható helyekről való használatát.
Lásd: Helyalapú feltételes hozzáférési szabályzat létrehozása