Implementera säkerhet för arbetsbelastningsidentiteter
Microsoft Entra Identity Protection har historiskt skyddat användare med identifiering, undersökning och reparation av identitetsbaserade risker. Identitetsskyddet har utökat dessa funktioner till arbetsbelastningsidentiteter för att skydda program, tjänstens huvudnamn och hanterade identiteter.
En arbetsbelastningsidentitet är en identitet som ger ett program eller tjänstens huvudnamn åtkomst till resurser, ibland i kontexten för en användare. Dessa arbetsbelastningsidentiteter skiljer sig från traditionella användarkonton eftersom de:
- inte kan utföra multifaktorautentisering
- ofta saknar en formell livscykelprocess
- behöver lagra sina uppgifter eller hemligheter någonstans.
Dessa skillnader gör arbetsbelastningsidentiteter svårare att hantera och utsätter dem för högre risk för kompromisser.
Krav för att använda arbetsbelastningsidentitetsskydd
Om du vill använda arbetsbelastningsidentitetsrisk, inklusive det nya bladet Riskfyllda arbetsbelastningsidentiteter (förhandsversion) och fliken Identifiering av arbetsbelastningsidentitet på bladet Riskidentifieringar, i Azure Portal måste du ha följande.
Microsoft Entra ID Premium P2-licensiering
Inloggad användare måste tilldelas antingen:
- Global administratör
- Säkerhetsadministratör
- Säkerhetsoperatör
- Säkerhetsläsare
Vilka typer av risker identifieras?
| Identifieringsnamn | Identifieringstyp | Beskrivning |
|---|---|---|
| Microsoft Entra-hotinformation | Offline | Den här riskidentifieringen indikerar viss aktivitet som överensstämmer med kända attackmönster baserat på Microsofts interna och externa hotinformationskällor. |
| Misstänkta inloggningar | Offline | Den här riskidentifieringen indikerar inloggningsegenskaper eller mönster som är ovanliga för tjänstens huvudnamn. |
| Identifieringen lär sig inloggningsbeteendet för baslinjer för arbetsbelastningsidentiteter i klientorganisationen inom mellan 2 och 60 dagar och utlöses om en eller flera av följande okända egenskaper visas under en senare inloggning: IP-adress/ASN, målresurs, användaragent, värd-/icke-värd-IP-ändring, IP-land, autentiseringstyp. | ||
| Ovanligt tillägg av autentiseringsuppgifter till en OAuth-app | Offline | Den här identifieringen identifieras av Microsoft Defender för molnet Apps. Den här identifieringen identifierar misstänkt tillägg av privilegierade autentiseringsuppgifter i en OAuth-app. Detta kan tyda på att en angripare har komprometterat appen och använder den för skadlig aktivitet. |
| Administratören bekräftade att kontot komprometterats | Offline | Den här identifieringen anger att en administratör har valt "Bekräfta komprometterad" i användargränssnittet för riskfyllda arbetsbelastningsidentiteter eller med riskyServicePrincipals API. Om du vill se vilken administratör som har bekräftat att kontot har komprometterats kontrollerar du kontots riskhistorik (via användargränssnitt eller API). |
| Läckta autentiseringsuppgifter (offentlig förhandsversion) | Offline | Den här riskidentifieringen anger att kontots giltiga autentiseringsuppgifter har läckt ut. Den här läckan kan inträffa när någon checkar in autentiseringsuppgifterna i den offentliga kodartefakten på GitHub eller när autentiseringsuppgifterna läcker ut genom ett dataintrång. |
Lägga till skydd för villkorlig åtkomst
Med villkorlig åtkomst för arbetsbelastningsidentiteter kan du blockera åtkomst för specifika konton som du väljer när Identity Protection markerar dem som "i riskzonen". Principen kan tillämpas på tjänstens huvudnamn för en klientorganisation som har registrerats i din klientorganisation. SaaS från tredje part, appar med flera klientorganisationer och hanterade identiteter ligger utanför omfånget.