Recommandation Microsoft Entra : renouveler les informations d’identification du principal de service qui arrivent à expiration (préversion)

Les recommandations Microsoft Entra constituent une fonctionnalité qui vous fournit des informations personnalisées et des conseils exploitables pour adapter votre locataire aux meilleures pratiques recommandées.

Cet article décrit la recommandation concernant le renouvellement des informations d’identification du principal de service qui arrivent à expiration. Cette recommandation est appelée servicePrincipalKeyExpiry dans l’API recommandations de Microsoft Graph.

Prérequis

Il existe différentes exigences de rôle pour afficher ou mettre à jour une recommandation. Utilisez le rôle ayant un privilège minimal pour le type d’accès nécessaire. Pour obtenir la liste complète des rôles, consultez Rôles privilégiés minimum par tâche.

Rôle Microsoft Entra	Type d’accès
Lecteur de rapports	Lecture seule
Lecteur Sécurité	Lecture seule
Lecteur général	Lecture seule
Administrateur de la stratégie d’authentification	Mettre à jour et lire
Administrateur Exchange	Mettre à jour et lire
Security Administrator	Mettre à jour et lire
DirectoryRecommendations.Read.All	Lecture seule dans Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Mettre à jour et lire dans Microsoft Graph

Certaines recommandations peuvent nécessiter une licence P2 ou autre. Pour plus d’informations, consultez Conditions de licence et de disponibilité des recommandations.

Description

Les informations d’identification du principal de service incluent les certificats et les secrets clients ajoutés à un principal de service. Les informations d’identification sont utilisées pour prouver l’identité de ce principal de service. Si les informations d’identification expirent, le principal de service ne peut pas s’authentifier, ce qui peut entraîner un temps d’arrêt pour votre scénario métier. Cette recommandation s’affiche si votre locataire a des principaux de service avec des informations d’identification qui expirent bientôt.

Les informations d’identification d’un principal de service expirent si :

• Il est sur un principal de service ET expire dans les 30 prochains jours.

Les informations d’identification suivantes sont exemptées de cette recommandation :

• Les informations d’identification qui ont été identifiées comme arrivant à expiration, mais qui ont depuis été supprimées de l’inscription de l’application.
• Les informations d’identification dont la date d’expiration a expiré s’affichent comme terminées dans la liste des ressources affectées.

Valeur

Le renouvellement des informations d’identification d’un principal de service avant leur date d’expiration est essentiel pour maintenir les opérations ininterrompues et réduire le risque de temps d’arrêt résultant d’informations d’identification obsolètes.

Plan d’action

Cette recommandation est disponible dans le Centre d’administration Microsoft Entra et à l’aide de l’API Microsoft Graph.

Centre d'administration Microsoft Entra

1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

2. Accédez à Identité>Vue d’ensemble.

3. Sélectionnez l’onglet Recommandations et sélectionnez la recommandation Renouveler les informations d’identification du principal de service arrivant à expiration.

4. Sélectionnez Plus de détails dans la colonne Actions .

5. Dans le panneau qui s’ouvre, sélectionnez Mettre à jour les informations d’identification pour accéder directement à la zone d’authentification unique de l’inscription de l’application.

   1. Vous pouvez également accéder aux inscriptions d’applications>d’identité>et localiser l’application pour laquelle les informations d’identification doivent être pivotées.

   

   1. Accédez à la section Authentification unique de l’inscription de l’application.

6. Modifiez la section Certificat de signature SAML et suivez les invites pour ajouter un nouveau certificat.

   

7. Une fois le certificat ou le secret ajouté, mettez à jour la configuration du certificat de signature SAML pour activer le nouveau certificat.

8. Vérifiez que l’application fonctionne comme prévu, puis supprimez le certificat SAML inactif de la collection de certificats SAML.

Remarque

Si vous n’avez pas configuré d’informations d’identification SAML, mais que vous avez reçu cette recommandation, utilisez le point de terminaison Microsoft Graph ServicePrincipalAPI pour vérifier les propriétés et passwordCredentials les keyCredentials propriétés de l’objet principal de service. Recherchez et faites pivoter les informations d’identification.

Nous vous recommandons vivement de modifier votre service afin qu’il fonctionne avec les informations d’identification définies sur l’objet d’application de stockage au lieu du principal de service.

API Microsoft Graph

Les requêtes suivantes peuvent être utilisées pour récupérer la recommandation et les ressources affectées à l’aide de l’API Microsoft Graph. Pour utiliser l’API Microsoft Graph, vous avez besoin des autorisations et DirectoryRecommendations.ReadWrite.All des DirectoryRecommendations.Read.All autorisations. Pour plus d’informations, consultez Guide pratique pour utiliser les recommandations d’identité.

Lorsque vous renouvelez les informations d’identification du principal de service à l’aide de Microsoft Graph, vous devez exécuter une requête pour obtenir les informations d’identification du mot de passe sur un principal de service, ajouter de nouvelles informations d’identification liées au mot de passe, puis supprimer les anciennes informations d’identification.

1. Connectez-vous à l’explorateur graphique.
2. Sélectionnez GET en tant que méthode HTTP dans la liste déroulante.

Pour récupérer toutes les recommandations pour votre locataire :

GET https://graph.microsoft.com/beta/directory/recommendations

À partir de la réponse, recherchez l’ID de la recommandation qui correspond au modèle suivant : {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry.

Pour identifier les ressources affectées :

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

Pour filtrer la liste des ressources en fonction de leur état, par exemple uniquement les ressources marquées comme active:

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Notez les AppIdinformations d’identification , CredentialIdet l’origine des informations d’identification que vous souhaitez supprimer.
• Utilisez ces API Microsoft Graph pour ajouter un nouveau mot de passe ou des informations d’identification de clé :
  • addPassword
  • addKey
• Utilisez ces API Microsoft Graph pour supprimer les anciennes informations d’identification :
  • removePassword
  • removeKey

Exemple de réponse

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

Contenu connexe

• Passer en revue la présentation des recommandations Microsoft Entra
• Découvrez comment utiliser les suggestions Microsoft Entra
• Explorer les propriétés de l’API Microsoft Graph pour obtenir des recommandations
• En savoir plus sur la sécurisation des principaux de service