Microsoft Entra-Empfehlung: Ablaufende Dienstprinzipal-Anmeldeinformationen erneuern (Vorschau)
Microsoft Entra-Empfehlungen sind ein Feature, das Ihnen personalisierte Erkenntnisse und handlungsrelevante Anleitungen bietet, um Ihren Mandanten an empfohlenen Best Practices auszurichten.
In diesem Artikel wird die Empfehlung behandelt, ablaufende Dienstprinzipal-Anmeldeinformationen zu verlängern. In der Empfehlungs-API in Microsoft Graph wird diese Empfehlung servicePrincipalKeyExpiry genannt.
Beschreibung
Ein Microsoft Entra-Dienstprinzipal ist die lokale Darstellung eines Anwendungsobjekts in einem einzelnen Mandanten oder Verzeichnis. Mit Dienstprinzipalen wird definiert, wer auf die Anwendung zugreifen kann und auf welche Ressourcen die Anwendung Zugriff hat. Die Authentifizierung von Dienstprinzipalen wird häufig mithilfe von Zertifikatanmeldeinformationen abgeschlossen, die eine Lebensdauer haben. Wenn die Anmeldeinformationen abgelaufen sind, kann sich die Anwendung nicht bei Ihrem Mandanten authentifizieren.
Diese Empfehlung wird angezeigt, wenn Ihr Mandant über Dienstprinzipale mit Anmeldeinformationen verfügt, die bald ablaufen.
Wert
Durch die Verlängerung der Anmeldeinformationen des Dienstprinzipals vor Ablauf wird sichergestellt, dass die Anwendung weiterhin funktioniert und das Risiko von Ausfallzeiten aufgrund abgelaufener Anmeldeinformationen verringert wird.
Maßnahmenplan
Wählen Sie den Namen der Anwendung aus der Liste der betroffenen Ressourcen aus, um direkt zur Seite Unternehmensanwendungen – Einmaliges Anmelden für die ausgewählte Anwendung zu wechseln.
a. Navigieren Sie alternativ zu Identität>Anwendungen>Unternehmensanwendungen. Der Status des Dienstprinzipals wird in der Spalte Zertifikatablaufstatus angezeigt.
b. Verwenden Sie das Suchfeld oben in der Liste, um die Anwendung zu finden, die in der Empfehlung genannt wurde.
c. Wählen Sie den Dienstprinzipal mit den Anmeldeinformationen aus, die aktualisiert werden müssen, und wählen Sie dann im Seitenmenü Einmaliges Anmelden aus.
Bearbeiten Sie den Abschnitt SAML-Signaturzertifikat und befolgen Sie die Anweisungen, um ein neues Zertifikat hinzuzufügen.
Ändern Sie nach dem Hinzufügen des Zertifikats dessen Eigenschaften, um das Zertifikat zu aktivieren, wodurch das andere Zertifikat deaktiviert wird.
Aktualisieren Sie den Dienstcode, nachdem das Zertifikat erfolgreich hinzugefügt und aktiviert wurde, um sicherzustellen, dass er mit den neuen Anmeldeinformationen funktioniert und Kunden keine negativen Auswirkungen erfahren.
Verwenden Sie die Microsoft Entra-Anmeldeprotokolle, um zu überprüfen, ob die Schlüssel-ID des Zertifikats mit dem zuletzt hochgeladenen übereinstimmt.
- Wechseln Sie zu Microsoft Entra-Anmeldeprotokolle>Dienstprinzipalanmeldungen.
- Öffnen Sie die Details für eine zugehörige Anmeldung, und überprüfen Sie, ob der Client-Anmeldeinformationstyp „Geheimer Clientschlüssel“ und die ID des Anmeldeinformationsschlüssels mit Ihren Anmeldeinformationen übereinstimmt.
Navigieren Sie nach dem Überprüfen der neuen Anmeldeinformationen zurück zum Bereich Einmaliges Anmelden für die App und entfernen Sie die alten Anmeldeinformationen.
Erneuern ablaufender Dienstprinzipal-Anmeldeinformationen mit Microsoft Graph
Sie können Microsoft Graph verwenden, um ablaufende Dienstanmeldeinformationen programmgesteuert zu verlängern. Erste Schritte finden Sie unter Verwenden von Microsoft Graph mit Microsoft Entra-Empfehlungen.
Wenn Sie die Dienstprinzipal-Anmeldeinformationen mithilfe von Microsoft Graph verlängern, müssen Sie eine Abfrage ausführen, um die Kennwort-Anmeldeinformationen für einen Dienstprinzipal abzurufen, neue Kennwort-Anmeldeinformationen hinzuzufügen und dann die alten Anmeldeinformationen zu entfernen.
Führen Sie die folgende Abfrage in Microsoft Graph aus, um die Kennwort-Anmeldeinformationen für einen Dienstprinzipal abzurufen:
https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials- Ersetzen Sie {id} durch die Dienstprinzipal-ID.
Fügen Sie neue Kennwort-Anmeldeinformationen hinzu.
- Verwenden Sie die Dienstaktion
addPasswordder Microsoft Graph Dienstprinzipal-API - servicePrincipal: addPassword MS Graph API documentation
- Verwenden Sie die Dienstaktion
Entfernen Sie die alten/ursprünglichen Anmeldeinformationen.
- Verwenden Sie die Dienstaktion
removePasswordder Microsoft Graph Dienstprinzipal-API - servicePrincipal: removePassword MS Graph API documentation
- Verwenden Sie die Dienstaktion
Bekannte Einschränkungen
In dieser Empfehlung werden Dienstprinzipal-Anmeldeinformationen identifiziert, die bald ablaufen. Wenn sie ablaufen, wird in der Empfehlung nicht unterschieden, ob die Anmeldedaten von selbst ablaufen oder ob sie von Ihnen bearbeitet wurden.
Dienstprinzipal-Anmeldeinformationen, die ablaufen, bevor die Empfehlung abgeschlossen ist, werden vom System als abgeschlossen markiert.
Die Empfehlung zeigt derzeit das Anmeldeinformations-Kennwortgeheimnis im Dienstprinzipal nicht an, wenn Sie eine betroffene Ressource aus der Liste auswählen.
Die in der Liste der betroffenen Ressourcen angezeigte ID bezieht sich auf die Anwendung und nicht auf den Dienstprinzipal.
Nächste Schritte
- Lesen Sie die Übersicht über Microsoft Entra-Empfehlungen.
- Erfahren Sie, wie Sie Microsoft Entra-Empfehlungen verwenden
- Sehen Sie sich die Microsoft Graph-API-Eigenschaften an, um Empfehlungen zu erhalten.
- Erfahren Sie mehr über das Schützen von Dienstprinzipalen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für