Recommandation Microsoft Entra : renouveler les informations d’identification du principal de service qui arrivent à expiration (préversion)

Les recommandations Microsoft Entra constituent une fonctionnalité qui vous fournit des informations personnalisées et des conseils exploitables pour adapter votre locataire aux meilleures pratiques recommandées.

Cet article décrit la recommandation concernant le renouvellement des informations d’identification du principal de service qui arrivent à expiration. Cette recommandation est appelée servicePrincipalKeyExpiry dans l’API recommandations de Microsoft Graph.

Description

Un principal de service Microsoft Entra est la représentation locale d’un objet d’application dans un locataire ou un répertoire. Le principal de service définit qui peut accéder à une application, ainsi que les ressources auxquelles l’application peut accéder. L’authentification des principaux de service est souvent effectuée à l’aide d’informations d’identification de certificat qui ont une durée de vie. Lorsque des informations d’identification arrivent à expiration, l’application ne peut plus s’authentifier auprès de votre locataire.

Cette recommandation s’affiche si votre locataire a des principaux de service avec des informations d’identification qui arrivent bientôt à expiration.

Valeur

Le renouvellement des informations d’identification du principal du service avant l’expiration garantit le fonctionnement correct d’une application et réduit les risques de temps d’arrêt en raison d’informations d’identification expirées.

Plan d’action

1. Sélectionnez le nom de l’application dans la liste des Ressources affectées pour accéder directement à la page Applications d’entreprise : authentification unique de l’application sélectionnée.

   a. Alternativement, accédez à Identité>Applications>Applications d’entreprise. L’état du principal de service s’affiche dans la colonne État d’expiration du certificat.

   b. Utilisez la zone de recherche située en haut de la liste pour rechercher l’application répertoriée dans la recommandation.

   c. Sélectionnez le principal de service dont les informations d’identification sont à renouveler, puis sélectionnez Authentification unique dans le menu latéral.

2. Modifiez la section Certificat de signature SAML et suivez les invites pour ajouter un nouveau certificat.

   

3. Après l’ajout du certificat, modifiez ses propriétés pour le rendre actif, ce qui désactive l’autre certificat.

4. Une fois le certificat correctement ajouté et activé, mettez à jour le code du service pour veiller à ce qu’il fonctionne avec les nouvelles informations d’identification et qu’il n’ait pas une incidence négative sur les clients.

5. Utilisez les journaux de connexion Microsoft Entra pour confirmer que l’ID de clé du certificat correspond à celui récemment chargé.

   • Accédez à Microsoft Entra journaux>de connexion principal du service.
   • Ouvrez les informations d’une connexion associée et vérifiez que le Type d’informations d’identification client est « Secret client » et que l’ID de clé d’identification correspond à vos informations d’identification.

6. Une fois les nouvelles informations d’identification validées, revenez à la zone Authentification unique de l’application et supprimez les anciennes informations d’identification.

Utiliser Microsoft Graph pour renouveler les informations d’identification du principal de service qui arrivent à expiration

Vous pouvez utiliser Microsoft Graph pour renouveler les informations d’identification de service qui arrivent à expiration de manière programmatique. Pour démarrer, découvrez comment utiliser Microsoft Graph avec des suggestions Microsoft Entra.

Lorsque vous renouvelez les informations d’identification du principal de service à l’aide de Microsoft Graph, vous devez exécuter une requête pour obtenir les informations d’identification du mot de passe sur un principal de service, ajouter de nouvelles informations d’identification liées au mot de passe, puis supprimer les anciennes informations d’identification.

1. Exécutez la requête suivante dans Microsoft Graph pour obtenir les informations d’identification du mot de passe sur un principal de service :

   https://graph.microsoft.com/v1.0/servicePrincipals/{id}?$select=passwordCredentials
   

   • Remplacez {id} par l’ID du principal de service.

2. Ajoutez de nouvelles informations d’identification du mot de passe.

   • Utiliser l’action du service addPassword de l’API Principal de service Microsoft Graph
   • servicePrincipal : documentation sur addPassword de l’API Graph MS

3. Supprimez les informations d’identification d’origine ou anciennes.

   • Utiliser l’action du service removePassword de l’API Principal de service Microsoft Graph
   • servicePrincipal: documentation sur removePassword de l’API Graph MS

Limitations connues

• Cette recommandation identifie les informations d’identification du principal de service sur le point d’expirer. Si elles expirent, la recommandation ne fait aucune distinction entre les informations d’identification arrivées à expiration par elles-mêmes ou si vous y avez contribué.

• Les informations d’identification du principal de service qui arrivent à expiration avant la fin de la recommandation sont terminées par le système.

• Actuellement, la recommandation n’affiche pas les informations d’identification du secret de mot de passe dans le principal du service lorsque vous sélectionnez une Ressource affectée dans la liste.

• L’ID indiqué dans la liste des Ressources affectées concerne l’application et non le principal de service.

Étapes suivantes

• Passer en revue la présentation des recommandations Microsoft Entra
• Découvrez comment utiliser les suggestions Microsoft Entra
• Explorer les propriétés de l’API Microsoft Graph pour obtenir des recommandations
• En savoir plus sur la sécurisation des principaux de service