Semion Vasilevitzky und Jonathan Elkabas

Anmerkung der Redaktion: Willkommen zum zweiten Übungsleitfaden im Rahmen der Reihe „Entra ID-Agenten-Identitätsangriffe verstehen und verhindern: Ein umfassender Leitfaden“. Diese mehrteilige technische Anleitung hilft Ihnen dabei, den Ansatz von Microsoft in Bezug auf Agentenidentitäten zu verstehen und zu erfahren, wie Sie diese vor Angreifern schützen können. Um frühere Kapitel und Übungslektionen noch einmal durchzugehen, beginnen Sie bitte hier.


In unserem ersten Übungs-Checkpoint haben Sie gelernt, wie Sie eine Agenten-ID erstellen und Ihren ersten Agenten-Benutzer anlegen.

Da die Kernobjekte nun vorhanden sind, werden wir das Berechtigungsmodell so einrichten, wie es in realen Bereitstellungen zum Einsatz kommt: direkte, ausschließlich auf die Anwendung bezogene Berechtigungen für die Agentenidentität sowie delegierte Berechtigungen, die auf Blueprint-Ebene gewährt und als vererbbar gekennzeichnet sind.

Dieser Prüfpunkt legt die genauen Eingaben fest, die wir später in den Authentifizierungsabläufen anhand von Tokens überprüfen werden.

Berechtigung der Agentenidentität zuweisen

Um „direkte“ App-spezifische Berechtigungen auf der Ebene der Agentenidentität zu veranschaulichen, weisen Sie eine App-Rolle zu <agent-identity-id> unter Verwendung desselben appRoleAssignments Muster wie zuvor.

In dieser Demo wird die appRoleId bedeutet User.Read.All. Wir werden dies später bei der Authentifizierung als Agentenidentität und bei der Auflistung der Benutzer verwenden.

Abbildung 1. Zuweisung einer App-Rolle zur Agentenidentität

Vererbbare Berechtigungen konfigurieren

Konfigurieren Sie vererbbare Berechtigungen so, dass der Agent delegierte Bereiche in delegierten Abläufen übernehmen kann.


Schritt 1: Erteilen Sie die delegierte Berechtigung

Erstellen Sie ein oauth2PermissionGrants Datensatz, der Folgendes gewährt Group.Read.All zum Identitäts-Blueprint des Beauftragten (Standardablauf für die delegierte Einwilligung).

Abbildung 2. Erteilung der Berechtigung „Group.Read.All“ für die Agentenidentität

Schritt 2: Als vererbbar kennzeichnen

Rufen Sie die /applications/microsoft.graph.agentIdentityBlueprint /<agent identity blueprint id>/inheritablePermissions Endpunkt und geben Sie die Ressourcen-App-ID von Graph an. Verwenden Sie einen enumerierten Geltungsbereich, damit die Agent-Identität nur die Group.Read.All Berechtigungen.

Abbildung 3. Einschränkung der vererbten Leseberechtigungen der Agentenidentität durch einen aufgezählten Geltungsbereich

In einem Szenario mit delegierter Authentifizierung werden wir diese Berechtigungen einsehen und nutzen, um die Mandantengruppen aufzulisten. Wenn Sie möchten, dass alle Berechtigungen vererbt werden, legen Sie einfach Folgendes fest: Art zu allAllowed anstelle von enumerated und entfernen Sie die Eigenschaft „scopes“.

Obwohl dies nicht dokumentiert ist, ist es möglich, aufgezählte, ausschließlich für Apps geltende Berechtigungen zu erben. Anstelle von Gültigkeitsbereichen werden wir appRoleIds, für die die GUID der App-Rolle erforderlich ist. Die Anfrage sieht also wie folgt aus:

Abbildung 4. Aktivierung der Vererbung von aufgeführten, ausschließlich für Apps geltenden Berechtigungen

Sie können auch beide gleichzeitig festlegen. Um bestehende vererbbare Berechtigungen zu aktualisieren, senden Sie eine „Patch“-Anfrage an die entsprechende Ressource, die Sie aktualisieren möchten.

Patch: /applications/microsoft.graph.agentIdentityBlueprint//inheritablePermissions/

Als Nächstes: Wir werden erfahren, wie Ihre Agentenidentität in Entra ID authentifiziert wird und funktioniert.


Entdecken Sie den Leitfaden