บรรจวบ เข้าสู่ระบบ
Score:0
Hong Ooi avatar Server

ข้อดี/ข้อเสียของบัญชีบริการและบริการหลักใน AAD

ธง cn
Hong Ooi

เอกสาร Microsoft อย่างเป็นทางการ ท้อแท้อย่างยิ่ง การปฏิบัติของบัญชีผู้ใช้ที่ใช้เป็นบัญชีบริการ แต่แนะนำให้ใช้บริการหลักหรือข้อมูลประจำตัวที่มีการจัดการแทน

พักเรื่อง MI ไว้ก่อน ฉันแค่มีคำถามเกี่ยวกับเรื่องนี้ เหตุใดจึงมีคำแนะนำที่ชัดเจนสำหรับบัญชีผู้ใช้เป็นบัญชีบริการใน AAD พิจารณาทางเลือกของผู้ให้บริการหลัก:

  • ทั้งคู่ต้องการความลับบางอย่างในการตรวจสอบสิทธิ์ ไม่ว่าจะเป็นรหัสผ่านผู้ใช้หรือความลับของไคลเอ็นต์ เนื่องจากนี่เป็นบัญชีบริการที่จะไม่เห็นการใช้งานเชิงโต้ตอบ เราน่าจะสร้างรหัสผ่านแบบสุ่มที่รัดกุมสำหรับบัญชีดังกล่าวได้ ดังนั้นระดับความปลอดภัยจึงควรเหมือนกัน

  • บริการหลักต้องการการอนุญาตของแอปพลิเคชันใน AAD ซึ่งมีความเข้มงวดมากเนื่องจากไม่ได้เชื่อมโยงกับข้อมูลประจำตัวเฉพาะ เช่น ถ้าฉันให้สิทธิ์ Files.ReadWrite กับแอปของฉัน ฉันจะยุ่งกับ OneDrive ของผู้ใช้ทั้งหมดในองค์กรของฉันได้ ในทางกลับกัน บัญชีบริการที่มีสิทธิ์ที่ได้รับมอบสิทธิ์จะแตะต้องทรัพยากรที่มีสิทธิ์เข้าถึงได้เท่านั้น ดังนั้นความเสี่ยงของการรั่วไหล/การทำลายข้อมูลจึงควรน้อยลง

  • บัญชีบริการใช้ รหัสผ่านเจ้าของทรัพยากร ขั้นตอนการตรวจสอบสิทธิ์ ซึ่งไม่รองรับโดยผู้ให้บริการตรวจสอบสิทธิ์ทั้งหมดถึงกระนั้น ถ้าฉันใช้ AAD เพียงอย่างเดียว สิ่งนี้จะไม่เป็นปัญหา

เหตุใดบัญชีบริการจึงถือว่าเป็นอันตราย

173
0 + 0
Score:1
Jevgenij Martynenko avatar Server
ธง us
Jevgenij Martynenko

ฉันอยู่กับคุณในเรื่องนี้ ฉันทำการค้นคว้าด้วยตัวเองและได้ข้อสรุปเดียวกัน: ปัจจุบันบัญชีบริการเป็นตัวเลือกที่ปลอดภัยกว่าบริการหลัก

ปัญหาหลักเกี่ยวกับหลักการบริการคือ:

  • ขาดความละเอียดของสิทธิ์
  • ขาดการสนับสนุนกฎการเข้าถึงแบบมีเงื่อนไขของ Azure AD
  • การบันทึกการกระทำที่อ่อนแอ

ข้อดีเพียงอย่างเดียวที่ฉันพบจากการใช้บริการหลักก็คือ คุณไม่จำเป็นต้องมีใบอนุญาตในการเข้าถึงข้อมูล Office 365 เช่น ไฟล์หรืออีเมล สิ่งนี้ไม่เกี่ยวข้องกับความปลอดภัย

เพื่อความเป็นธรรม ฉันเดาว่าสถานการณ์การตรวจสอบใบรับรองเป็นกรณีที่ถูกต้องของคุณสมบัติการรักษาความปลอดภัยที่แตกต่างกันซึ่งไม่พร้อมใช้งานสำหรับบัญชีบริการ AAD แต่อีกครั้ง ไม่มีวิธีใดที่จะรักษาหลักการบริการได้อีกต่อไป

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา