保護雲端式服務帳戶
Microsoft Entra ID 的原生服務帳戶類型有三種:受控識別、服務主體和以使用者為基礎的服務帳戶。 服務帳戶是特殊類型的帳戶,用於代表非人員實體,例如應用程式、API 或其他服務。 這些實體會在服務帳戶所提供的安全性內容中運作。
Microsoft Entra 服務帳戶的類型
針對 Azure 中託管的服務,我們建議盡可能使用受控識別,次要選項為服務主體。 受控識別無法用於裝載於 Azure 外部的服務。 在此情況下,我們建議使用服務主體。 如果您可以使用受控識別或服務主體,請使用。 我們建議您不要使用 Microsoft Entra 使用者帳戶作為服務帳戶。 如需摘要,請參閱下表。
| 服務裝載 | 受控識別 | 服務主體 | Azure 使用者帳戶 |
|---|---|---|---|
| 服務會在 Azure 中託管。 | 是。 如果服務支援 ,則建議使用。 |
是。 | 不建議使用。 |
| 服務不是在 Azure 中託管。 | No | 是。 建議。 | 不建議使用。 |
| 服務是多租用戶 | No | 是。 建議。 | 否。 |
受控識別
受控識別是安全的 Microsoft Entra 身分識別,其建立目的是為 Azure 資源提供身分識別。 受控身分識別有兩種:
系統指派的受控識別可以直接指派給服務的執行個體。
使用者指派的受控識別可採用獨立 Azure 資源的形式來建立。
如需詳細資訊,請參閱保護受控識別。 如需受控識別的一般資訊,請參閱什麼是適用於 Azure 資源的受控識別?
服務主體
如果您無法使用受控識別來代表您的應用程式,請使用服務主體。 服務主體可以搭配單一租用戶和多租用戶應用程式使用。
服務主體是單一 Microsoft Entra 租用戶中應用程式物件的本機表示法。 服務主體會作為應用程式執行個體的身分識別,定義可存取應用程式的人員,以及應用程式可存取的資源。 服務主體是建立在 (位於) 使用應用程式的每個租用戶中,並參考全域唯一的應用程式物件。 租用戶會保護服務主體的登入和對資源的存取。
使用服務主體進行驗證的機制有兩種:用戶端憑證和用戶端密碼。 憑證更為安全:可能的話,請使用用戶端憑證。 不同於用戶端密碼,用戶端憑證不會意外內嵌至程式碼。
如需保護服務主體的詳細資訊,請參閱保護服務主體。
下一步
如需有關保護 Azure 服務帳戶的詳細資訊,請參閱: