Aracılığıyla paylaş


Microsoft Entra hizmet hesaplarını yönetme

Microsoft Entra Id'de üç tür hizmet hesabı vardır: yönetilen kimlikler, hizmet sorumluları ve hizmet hesabı olarak kullanılan kullanıcı hesapları. Otomatik kullanım için hizmet hesapları oluşturduğunuzda, bunlara Azure ve Microsoft Entra Id'deki kaynaklara erişim izinleri verilir. Kaynaklar Microsoft 365 hizmetlerini, hizmet olarak yazılım (SaaS) uygulamalarını, özel uygulamaları, veritabanlarını, İk sistemlerini vb. içerebilir. Microsoft Entra hizmet hesabını yönetmek, güvenlik ve süreklilik sağlamak için oluşturma, izin ve yaşam döngüsünü yönetir.

Daha fazla bilgi edinin:

Not

Kullanıcı hesaplarının daha az güvenli olduğundan hizmet hesabı olarak kullanılması önerilmez. Bu, hizmet sorumlularına dönüştürülmedikleri için Microsoft Entra Id ile eşitlenen şirket içi hizmet hesaplarını içerir. Bunun yerine, yönetilen kimliklerin veya hizmet sorumlularının ve Koşullu Erişim'in kullanılmasını öneririz.

Daha fazla bilgi edinin: Koşullu Erişim nedir?

Hizmet hesabınızı planlama

Hizmet hesabı oluşturmadan veya uygulamayı kaydetmeden önce hizmet hesabı anahtarı bilgilerini belgeleyin. Hesabı izlemek ve yönetmek için bu bilgileri kullanın. Aşağıdaki verileri toplamanızı ve merkezi Yapılandırma Yönetimi Veritabanınızda (CMDB) izlemenizi öneririz.

Veriler Açıklama Ayrıntılar
Sahip Hizmet hesabını yönetmek ve izlemek için sorumlu olan kullanıcı veya grup Hesabı izlemek ve sorunları azaltmak için bir yol uygulamak için sahip izinlerini verin. Sorun azaltma, sahibi tarafından veya bir BT ekibine istekte bulunarak gerçekleştirilir.
Purpose Hesap nasıl kullanılır? Hizmet hesabını bir hizmet, uygulama veya betikle eşleyin. Çok amaçlı hizmet hesapları oluşturmaktan kaçının.
İzinler (Kapsamlar) Beklenen izin kümesi Eriştiği kaynakları ve bu kaynaklar için izinleri belgeleyin
CMDB Bağlantısı Hizmet hesabının kullanıldığı erişilen kaynaklara ve betiklere bağlantı Değişikliğin etkilerini iletmek için kaynak ve betik sahiplerini belgele
Risk değerlendirmesi Hesabın gizliliğinin ihlal edilmiş olması durumunda risk ve iş etkisi İzinlerin kapsamını daraltmak ve bilgilere erişimi belirlemek için bilgileri kullanın
Gözden geçirme dönemi Hizmet hesabı incelemelerinin temposu, sahibi tarafından İletişimleri ve incelemeleri gözden geçirin. Zamanlanan gözden geçirme döneminden sonra bir gözden geçirme gerçekleştirilirse ne olacağını belgele.
Yaşam süresi Beklenen hesap ömrü üst sınırı Sahiple iletişim zamanlamak, hesapları devre dışı bırakmak ve silmek için bu ölçümü kullanın. Kimlik bilgilerinin otomatik olarak teslim edilmesini engelleyen bir son kullanma tarihi ayarlayın.
Veri Akışı Adı Standartlaştırılmış hesap adı Hizmet hesaplarını aramak, sıralamak ve filtrelemek için bir adlandırma kuralı oluşturma

En az ayrıcalık ilkesi

Görevleri gerçekleştirmek için gereken hizmet hesabı izinlerini verin ve artık vermeyin. Bir hizmet hesabının üst düzey izinlere ihtiyacı varsa, bunun nedenini değerlendirin ve izinleri azaltmayı deneyin.

Hizmet hesabı ayrıcalıkları için aşağıdaki uygulamaları öneririz.

İzinler

Get-MgDirectoryRoleMemberve objectType "Hizmet Sorumlusu" için filtreleyin veya
Get-MgServicePrincipal | % { Get-MgServicePrincipalAppRoleAssignment -ObjectId $_ }

Süre

  • Hizmet hesabı kimlik bilgilerini (istemci gizli anahtarı, sertifika) beklenen kullanım süresiyle sınırlama
  • Hizmet hesabı kullanımı ve amacının düzenli gözden geçirmelerini zamanlama
    • Gözden geçirmelerin hesap süresi dolmadan önce oluştuğundan emin olun

Amacı, kapsamı ve izinleri anladıktan sonra hizmet hesabınızı oluşturun, aşağıdaki makalelerdeki yönergeleri kullanın.

Mümkün olduğunda yönetilen kimlik kullanın. Yönetilen kimlik kullanamıyorsanız hizmet sorumlusu kullanın. Hizmet sorumlusu kullanamıyorsanız Microsoft Entra kullanıcı hesabını kullanın.

Yaşam döngüsü süreci oluşturma

Hizmet hesabı yaşam döngüsü planlamayla başlar ve kalıcı silme ile biter. Aşağıdaki bölümlerde izleme, izinleri gözden geçirme, devam eden hesap kullanımını belirleme ve sonuçta hesabın sağlamasını kaldırma işlemleri ele alınıyor.

Hizmet hesaplarını izleme

Kullanım düzenlerinin doğru olduğundan ve hizmet hesabının kullanıldığından emin olmak için hizmet hesaplarınızı izleyin.

Hizmet hesabı oturum açma bilgilerini toplama ve izleme

Aşağıdaki izleme yöntemlerinden birini kullanın:

Hizmet sorumlusu oturum açmalarını görmek için aşağıdaki ekran görüntüsünü kullanın.

Hizmet sorumlusu oturum açma işlemleri ekran görüntüsü.

Oturum açma günlüğü ayrıntıları

Oturum açma günlüklerinde aşağıdaki ayrıntıları arayın.

  • Hizmet hesapları kiracıda oturum açmamış
  • Oturum açma hizmeti hesap desenlerindeki değişiklikler

Microsoft Entra oturum açma günlüklerini dışarı aktarmanızı ve ardından bunları Microsoft Sentinel gibi bir güvenlik bilgilerine ve olay yönetimi (SIEM) aracına aktarmanızı öneririz. Uyarılar ve panolar oluşturmak için SIEM aracını kullanın.

Hizmet hesabı izinlerini gözden geçirme

Hizmet hesabı izinlerini ve erişilen kapsamları düzenli olarak gözden geçirerek bunların azaltılıp azaltılamayacağını veya ortadan kaldırılıp kaldırılamayacağını denetleyin.

Hizmet hesabı kullanımını yeniden onaylama

Hizmet hesaplarının sahipler, güvenlik ekibi veya BT ekibi tarafından düzenli olarak gözden geçirildiğinden emin olmak için düzenli bir gözden geçirme süreci oluşturun.

İşlem şunları içerir:

  • Hizmet hesabı gözden geçirme döngüsünü belirleme ve CMDB'nizde belgele
  • İncelemeden önce sahip, güvenlik ekibi, BT ekibiyle iletişim
  • Gözden geçirmenin yanıtsız olması durumunda uyarı iletişimlerini ve bunların zamanlamasını belirleme
  • Sahipler gözden geçiremediğinde veya yanıt veremediğinde yönergeler
    • Gözden geçirme tamamlanana kadar hesabı devre dışı bırakın, ancak silmeyin
  • Bağımlılıkları belirleme yönergeleri. Kaynak sahiplerine etkileri bildirme

Gözden geçirme, sahibini ve BT iş ortağını içerir ve şunları onaylar:

  • Hesap gereklidir
  • Hesaba yönelik izinler yeterli ve gerekli veya bir değişiklik isteniyor
  • Hesaba ve kimlik bilgilerine erişim denetleniyor
  • Hesap kimlik bilgileri doğrudur: kimlik bilgisi türü ve ömrü
  • Önceki yeniden onaylamadan bu yana hesap risk puanı değişmedi
  • Beklenen hesap ömrünü ve sonraki yeniden onaylama tarihini güncelleştirme

Hizmet hesaplarının sağlamasını kaldırma

Aşağıdaki koşullarda hizmet hesaplarının sağlamasını kaldırın:

  • Hesap betiği veya uygulama kullanımdan kaldırıldı
  • Hesap betiği veya uygulama işlevi kullanımdan kaldırıldı. Örneğin, bir kaynağa erişim.
  • Hizmet hesabı başka bir hizmet hesabıyla değiştirildi
  • Kimlik bilgilerinin süresi doldu veya hesap işlevsel değil ve şikayet yok

Sağlamayı kaldırma aşağıdaki görevleri içerir:

İlişkili uygulama veya betiğin sağlamasını kaldırdıktan sonra:

  • Microsoft Entra Kimliği'nde oturum açma günlükleri ve hizmet hesabı tarafından kaynak erişimi
    • Hesap etkinse devam etmeden önce nasıl kullanıldığını belirleyin
  • Yönetilen hizmet kimliği için hizmet hesabı oturum açmayı devre dışı bırakın, ancak dizinden kaldırmayın
  • Hizmet hesabı rol atamalarını ve OAuth2 onay vermelerini iptal etme
  • Tanımlı bir dönemden ve sahiplere uyarıdan sonra hizmet hesabını dizinden silin

Sonraki adımlar