实现工作负载标识的安全性
Microsoft Entra 标识保护一直在检测、调查和修正基于标识的风险方面保护用户。 标识保护已将这些功能扩展到工作负载标识,以保护应用程序、服务主体和托管标识。
工作负载标识是允许应用程序或服务主体访问资源(有时在用户上下文中)的标识。 这些工作负载标识与传统用户帐户不同,因为它们:
- 无法执行多重身份验证。
- 通常没有正式的生命周期过程。
- 需要将其凭据或机密存储在某处。
这些差异使得工作负载标识更难管理,并使它们面临更高的泄露风险。
使用工作负载标识保护的要求
若要利用工作负载标识风险,包括新的“风险工作负载标识(预览版)”边栏选项卡和“风险检测”边栏选项卡中的“工作负载标识检测”选项卡,在 Azure 门户中必须具有以下项。
Microsoft Entra ID 高级版 P2 许可
必须为已登录的用户分配以下任意一项:
- 全局管理员
- 安全管理员
- 安全操作员
- 安全读取者
检测到哪些类型的风险?
| 检测名称 | 检测类型 | 描述 |
|---|---|---|
| Microsoft Entra 威胁情报 | 脱机 | 此风险检测指示某项活动与基于 Microsoft 内部和外部威胁情报来源的已知攻击模式一致。 |
| 可疑登录 | Offline | 此风险检测指示此服务主体不常见的登录属性或模式。 |
| 检测将了解租户中工作负载标识在 2 到 60 天内的基线登录行为,如果以下一个或多个不熟悉的属性在以后登录期间出现,则触发该行为:IP 地址/ASN、目标资源、用户代理、托管/非托管 IP 更改、IP 国家/地区、凭据类型。 | ||
| 向 OAuth 应用异常添加凭据 | 脱机 | 此检测由 Microsoft Defender for Cloud Apps 发现。 此检测可识别向 OAuth 应用添加特权凭据的可疑活动。 这可能表示攻击者已入侵应用,并正在将其用于恶意活动。 |
| 管理员确认帐户被入侵 | Offline | 此检测指示管理员在风险工作负载标识 UI 中或使用 riskyServicePrincipals API 选择了“确认被入侵”。 若要查看哪位管理员确认了此帐户被入侵,请(通过 UI 或 API)检查帐户的风险历史记录。 |
| 凭据泄露(公共预览版) | Offline | 此风险检测指示帐户的有效凭据已泄露。 如果有人在 GitHub 上的公共代码项目中签入凭据,或者由于数据泄露而泄露了凭据,则可能会发生此泄露。 |
添加条件访问保护
为工作负载标识使用条件访问,可以在标识保护将你选择的特定帐户标记为“有风险”时阻止对这些帐户的访问。策略可应用于已在租户中注册的单租户服务主体。 第三方 SaaS、多租户应用和托管标识不在范围内。