Anmerkung der Redaktion: Willkommen zum zweiten Übungsleitfaden im Rahmen der Reihe „Entra ID-Agenten-Identitätsangriffe verstehen und verhindern: Ein umfassender Leitfaden“. Diese mehrteilige technische Anleitung hilft Ihnen dabei, den Ansatz von Microsoft in Bezug auf Agentenidentitäten zu verstehen und zu erfahren, wie Sie diese vor Angreifern schützen können. Um frühere Kapitel und Übungslektionen noch einmal durchzugehen, beginnen Sie bitte hier.
In unserem ersten Übungs-Checkpoint haben Sie gelernt, wie Sie eine Agenten-ID erstellen und Ihren ersten Agenten-Benutzer anlegen.
Da die Kernobjekte nun vorhanden sind, werden wir das Berechtigungsmodell so einrichten, wie es in realen Bereitstellungen zum Einsatz kommt: direkte, ausschließlich auf die Anwendung bezogene Berechtigungen für die Agentenidentität sowie delegierte Berechtigungen, die auf Blueprint-Ebene gewährt und als vererbbar gekennzeichnet sind.
Dieser Prüfpunkt legt die genauen Eingaben fest, die wir später in den Authentifizierungsabläufen anhand von Tokens überprüfen werden.
Berechtigung der Agentenidentität zuweisen
Um „direkte“ App-spezifische Berechtigungen auf der Ebene der Agentenidentität zu veranschaulichen, weisen Sie eine App-Rolle zu <agent-identity-id> unter Verwendung desselben appRoleAssignments Muster wie zuvor.
In dieser Demo wird die appRoleId bedeutet User.Read.All. Wir werden dies später bei der Authentifizierung als Agentenidentität und bei der Auflistung der Benutzer verwenden.

Vererbbare Berechtigungen konfigurieren
Konfigurieren Sie vererbbare Berechtigungen so, dass der Agent delegierte Bereiche in delegierten Abläufen übernehmen kann.
Schritt 1: Erteilen Sie die delegierte Berechtigung
Erstellen Sie ein oauth2PermissionGrants Datensatz, der Folgendes gewährt Group.Read.All zum Identitäts-Blueprint des Beauftragten (Standardablauf für die delegierte Einwilligung).

Schritt 2: Als vererbbar kennzeichnen
Rufen Sie die /applications/microsoft.graph.agentIdentityBlueprint /<agent identity blueprint id>/inheritablePermissions Endpunkt und geben Sie die Ressourcen-App-ID von Graph an. Verwenden Sie einen enumerierten Geltungsbereich, damit die Agent-Identität nur die Group.Read.All Berechtigungen.

In einem Szenario mit delegierter Authentifizierung werden wir diese Berechtigungen einsehen und nutzen, um die Mandantengruppen aufzulisten. Wenn Sie möchten, dass alle Berechtigungen vererbt werden, legen Sie einfach Folgendes fest: Art zu allAllowed anstelle von enumerated und entfernen Sie die Eigenschaft „scopes“.
Obwohl dies nicht dokumentiert ist, ist es möglich, aufgezählte, ausschließlich für Apps geltende Berechtigungen zu erben. Anstelle von Gültigkeitsbereichen werden wir appRoleIds, für die die GUID der App-Rolle erforderlich ist. Die Anfrage sieht also wie folgt aus:

Sie können auch beide gleichzeitig festlegen. Um bestehende vererbbare Berechtigungen zu aktualisieren, senden Sie eine „Patch“-Anfrage an die entsprechende Ressource, die Sie aktualisieren möchten.
Patch: /applications/microsoft.graph.agentIdentityBlueprint//inheritablePermissions/
Als Nächstes: Wir werden erfahren, wie Ihre Agentenidentität in Entra ID authentifiziert wird und funktioniert.
Entdecken Sie den Leitfaden
- Einleitung: Entra ID Agent-Identitätsangriffe verstehen und verhindern: Ein umfassender Leitfaden
- Kapitel 1: Lernen Sie die Identitäten der Entra-ID-Agenten kennen (übrigens: Es handelt sich dabei nicht um Personen)
- Kapitel 2: Die Taxonomie von Workload-Identitäten in Entra ID: Unternehmensanwendungen, Service-Principals und andere Formen organisierter Verwirrung
- Kapitel 3: Einführung in die Microsoft Agent-ID und die Agent Identity Platform
- Übungs-Checkpunkt 1: Erstellen einer Agenten-ID mit MS Graph
- Kapitel 4: Agentenidentitäten: Ein tiefer Einblick in das Design
