Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Существует три типа учетных записей служб, относящихся к Microsoft Entra ID: управляемые удостоверения, принципы службы и учетные записи службы, основанные на пользователях. Учетные записи служб — это особый тип учетной записи, которая предназначена для представления нечеловеческой сущности, такой как приложение, API или другая служба. Эти сущности работают в контексте безопасности, предоставленном служебной учетной записью.
Типы учетных записей службы Microsoft Entra
Для служб, размещенных в Azure, рекомендуется использовать управляемые удостоверения, если это возможно, и учетную запись службы, если нет. Управляемые удостоверения не могут использоваться для служб, размещаемых вне Azure. В этом случае мы рекомендуем служебную учетную запись. Если вы можете использовать управляемое удостоверение или сервисный принципал, используйте их. Рекомендуется не использовать учетную запись пользователя Microsoft Entra в качестве учетной записи службы. См. следующую таблицу для сводки.
| Размещение служб | Манажируемая идентичность | Принципал службы | Учетная запись пользователя Azure |
|---|---|---|---|
| Служба размещена в Azure. | Да. Рекомендуется, если служба выполнена в срок или соответствует требованиям. поддерживает управляемое удостоверение. |
Да. | Не рекомендуется. |
| Служба не размещена в Azure. | нет | Да. Рекомендовано. | Не рекомендуется. |
| Служба является мультитенантной системой | нет | Да. Рекомендовано. | Нет. |
Управляемые идентичности
Управляемые удостоверения — это защищенные удостоверения Microsoft Entra, созданные для предоставления удостоверений для ресурсов Azure. Существует два типа управляемых удостоверений:
Управляемые удостоверения, назначаемые системой, можно назначать непосредственно экземпляру службы.
Управляемые удостоверения, назначаемые пользователем, можно создавать как автономный ресурс.
Дополнительные сведения см. в разделе "Защита управляемых удостоверений". Общие сведения об управляемых удостоверениях см. в статье "Что такое управляемые удостоверения для ресурсов Azure"?
Сервисные принципы
Если вы не можете использовать управляемое удостоверение для представления вашего приложения, используйте учётную запись службы. Служебные принципы можно использовать как для одноарендаторных, так и для мультитенантных приложений.
Главный объект службы является локальным представлением объекта приложения в одном арендаторе Microsoft Entra. Оно функционирует как удостоверение экземпляра приложения, определяет, кто может получить доступ к приложению, и какие ресурсы доступны приложению. Субъект-служба создается в каждом клиенте ,где используется приложение, и ссылается на глобальный уникальный объект приложения. Тенант защищает вход сервисного принципала и доступ к ресурсам.
Существует два механизма проверки подлинности с помощью субъектов-служб — сертификатов клиента и секретов клиента. Сертификаты более безопасны: по возможности используйте сертификаты клиента. В отличие от секретов клиента, сертификаты клиента не могут быть случайно внедрены в код.
Сведения о защите субъектов-служб см. в разделе "Защита субъектов-служб".
Дальнейшие шаги
Дополнительные сведения о защите учетных записей служб Azure см. в следующем разделе: