Como governar as contas de serviço do Microsoft Entra
Há três tipos de contas de serviço no Microsoft Entra ID: identidades gerenciadas, entidades de serviços e contas de usuário utilizadas como contas de serviço. Quando você cria essas contas de serviço para uso automático, elas recebem permissões para acessar recursos no Azure e no Microsoft Entra ID. Os recursos podem incluir serviços do Microsoft 365, aplicativos SaaS (software como serviço), aplicativos personalizados, bancos de dados, sistemas de RH e assim por diante. Administrar uma conta de serviço do Microsoft Entra significa gerenciar a criação, as permissões e o ciclo de vida para garantir a segurança e a continuidade.
Saiba mais:
Observação
Não recomendamos o uso de contas de usuário como contas de serviço, pois elas são menos seguras. Isso inclui contas de serviço locais que são sincronizadas com o Microsoft Entra ID, pois elas não são convertidas em entidades de serviço. Em vez disso, recomendamos o uso de identidades gerenciadas ou entidades de serviço e o uso do Acesso Condicional.
Saiba mais sobre: O que é o Acesso Condicional?
Planejar sua conta de serviço
Antes de criar uma conta de serviço ou registrar um aplicativo, documente as informações chave da conta de serviço. Use as informações para monitorar e administrar a conta. É recomendável coletar os dados a seguir e controlá-los no seu CMDB (Banco de Dados de Gerenciamento de Configuração) centralizado.
| Dados | Descrição | Detalhes |
|---|---|---|
| Proprietário | Usuário ou grupo responsável por gerenciar e monitorar a conta de serviço | Conceder ao proprietário as permissões necessárias para monitorar a conta e implementar uma maneira de mitigar os problemas. A mitigação do problema é feita pelo proprietário ou por solicitação a uma equipe de TI. |
| Finalidade | Como a conta do serviço é utilizada | Vincule a conta de serviço a um serviço, aplicativo ou script. Evite criar contas de serviço de uso múltiplo. |
| Permissões (Escopos) | Conjunto de permissões antecipado | Documente os recursos acessados e as permissões para esses recursos |
| Link do CMDB | Link para os recursos a serem acessados e scripts nos quais a conta de serviço é usada | Documente os proprietários de recursos e scripts para comunicar os efeitos da alteração |
| Avaliação de risco | Risco e efeito comercial, se a conta estiver comprometida | Use essas informações para restringir o escopo de permissões e determinar quem deve ter acesso às informações da conta |
| Período para revisão | A ritmo das revisões da conta de serviço, pelo proprietário | Examine as comunicações e as revisões. Documente o que acontecer se a revisão não for executada após o período de revisão agendado. |
| Tempo de vida | Tempo de vida máximo previsto da conta | Use-o para agendar comunicações com o proprietário e, por fim, desabilitar e excluir as contas. Defina uma data de validade para credenciais para impedir que sejam roladas automaticamente. |
| Nome | Nome padronizado da conta | Crie uma convenção de nomenclatura para contas de serviço para pesquisá-las, classificá-las e filtrá-las |
Princípio de privilégios mínimos
Conceda à conta de serviço somente as permissões necessárias para executar suas tarefas e não mais que isso. Se uma conta de serviço precisar de permissões de alto nível, avalie o motivo e tente reduzir as permissões.
Recomendamos as práticas a seguir para privilégios de conta de serviço.
Permissões
- Não atribua funções internas a contas de serviço
- Atribuir à entidade de serviço uma função com privilégios
- Não inclua contas de serviço como membros de um grupo com permissões elevadas
- Confira Get-MgDirectoryRoleMember:
Get-MgDirectoryRoleMembere filtre por objectType "Entidade de Serviço" ou useGet-MgServicePrincipal | % { Get-MgServicePrincipalAppRoleAssignment -ObjectId $_ }
- Confira Introdução às permissões e consentimento para limitar a funcionalidade que uma conta de serviço pode acessar em um recurso
- As entidades de serviço e as identidades gerenciadas podem usar escopos OAuth (Open Authorization) 2.0 em um contexto delegado representando um usuário conectado ou como uma conta de serviço no contexto do aplicativo. No contexto do aplicativo, ninguém está conectado.
- Verifique os escopos de solicitação das contas de serviço para obter recursos
- Se uma conta solicitar Files.ReadWrite.All, avalie se ela precisa de File.Read.All
- Referência de permissões do Microsoft Graph
- Verifique se pode confiar no desenvolvedor do aplicativo ou na API com o acesso solicitado
Duration
- Limite as credenciais de conta de serviço (segredo do cliente, certificado) a um período de uso previsto
- Agende revisões periódicas do uso e finalidade da conta de serviço
- Garanta que as revisões ocorram antes da expiração da conta
Depois de ter uma ideia clara da finalidade, do escopo e das permissões, crie sua conta de serviço, usando as instruções nos artigos a seguir.
- Como usar identidades gerenciadas para o Serviço de Aplicativo e o Azure Functions
- Criar um aplicativo do Microsoft Entra e uma entidade de serviço que possa acessar os recursos
Use uma identidade gerenciada quando possível. Se você não puder usar uma identidade gerenciada, use uma entidade de serviço. Se você não puder usar uma entidade de serviço, use uma conta de usuário do Microsoft Entra.
Criar um processo de ciclo de vida
O gerenciamento do ciclo de vida de uma conta de serviço tem início com o planejamento e termina com sua exclusão permanente. As seções a seguir abordam como monitorar, examinar permissões, determinar o uso contínuo da conta e, por fim, desprovisionar a conta.
Monitorar as contas de serviço
Monitore suas contas de serviço para garantir que os padrões de uso estejam corretos e que a conta de serviço seja usada.
Coletar e monitorar entradas na conta de serviço
Use um dos seguintes método de monitoramento:
- Logs de entrada do Microsoft Entra no portal do Azure
- Exportar os logs de entrada do Microsoft Entra para
Use a captura de tela a seguir para ver as entradas da entidade de serviço.
Detalhes do log de entrada
Procure os detalhes a seguir nos logs de entrada.
- Contas de serviço não conectadas ao locatário
- Alterações nos padrões de entrada da conta de serviço
Recomendamos exportar os logs de entrada do Microsoft Entra e importá-los para uma ferramenta SIEM (gerenciamento de eventos e informações de segurança), como o Microsoft Sentinel. Use a ferramenta SIEM para criar alertas e painéis.
Revisar as permissões da conta de serviço
Revise regularmente as permissões concedidas e os escopos acessados pelas contas de serviço para ver se eles podem ser reduzidos ou eliminados.
- Confira Get-MgServicePrincipalOauth2PermissionGrant
- Consulte,
AzureADAssessmente confirme a validade - Não defina as credenciais da entidade de serviço como Nunca expirar
- Use certificados ou credenciais armazenados no Azure Key Vault, quando possível
Recertificar o uso da conta de serviço
Estabeleça um processo regular de revisão para garantir que as contas de serviço sejam examinadas regularmente por seus proprietários e pela equipe de segurança de TI em intervalos regulares.
Esse processo inclui:
- Determinar o ciclo de revisão da conta de serviço e documente-o em seu CMDB
- Comunicações com o proprietário, a equipe de segurança, a equipe de TI, antes de uma revisão
- Determinar as comunicações de aviso e seu agendamento, se a revisão for ignorada
- As instruções sobre o que fazer se os proprietários não conseguirem revisar ou responder
- Desabilitar, mas não excluir, a conta até que a revisão seja concluída
- Instruções para determinar dependências. Notificar os proprietários de recursos dos efeitos
A revisão inclui o proprietário e um parceiro de TI para garantir que:
- A conta é necessária
- As permissões concedidas à conta são adequadas e necessárias, ou uma alteração foi solicitada
- O acesso à conta e suas credenciais são controlados
- As credenciais da conta são precisas: tipo de credencial e tempo de vida
- A pontuação de risco da conta não foi alterada desde a recertificação anterior
- Atualizar o tempo de vida esperado da conta e a próxima data de recertificação
Desprovisionar contas de serviço
Desprovisione as contas de serviço nas seguintes circunstâncias:
- O script ou o aplicativo da conta foi desativado
- O script da conta ou a função de aplicativo foram desativados. Por exemplo, acesso a um recurso.
- A conta de serviço foi substituída por outra conta de serviço
- As credenciais expiraram ou a conta não está funcional, e não há nenhuma reclamação
O desprovisionamento inclui as seguintes tarefas:
Depois que o aplicativo ou script associados forem desprovisionados:
- Logs de entrada no Microsoft Entra ID e acesso a recursos pela conta de serviço
- Se a conta ainda estiver ativa, determine como ela está sendo usada antes de realizar as etapas subsequentes
- Se essa for uma identidade de serviço gerenciada, desabilite a entrada na conta de serviço, mas não a remova do diretório
- Revogue atribuições de função e concessões de consentimento OAuth2 para a conta de serviço
- Após um período definido e um aviso aos proprietários, exclua a conta de serviço do diretório