Microsoft Entra 建議：更新即將到期的服務主體認證 (預覽)

Microsoft Entra 建議 是一項特色，提供您個人化的深入解析與具體指導，以便讓您的租用戶與建議的最佳做法保持一致。

本文介紹更新即將到期之服務主體認證的建議。 此建議在 Microsoft Graph 的建議 API 中名為 servicePrincipalKeyExpiry。

必要條件

檢視或更新建議需要不同的角色權限。 針對所需的存取類型，使用最低特殊權限角色。 如需角色的完整清單，請參閱 依工作的最低許可權角色。

Microsoft Entra 角色	存取類型
報告閱讀器	唯讀
安全性閱讀器	唯讀
全球讀者	唯讀
驗證原則管理員	更新和閱讀
Exchange 系統管理員	更新和閱讀
安全性系統管理員	更新和閱讀
DirectoryRecommendations.Read.All	在 Microsoft Graph 中的唯讀
DirectoryRecommendations.ReadWrite.All	在 Microsoft Graph 上執行更新與讀取

某些建議可能需要 P2 或其他授權。 如需詳細資訊，請參閱 建議概觀數據表。

描述

服務主體認證包括新增至服務主體的憑證和用戶端密鑰。 認證可用來證明該服務主體的身分識別。 如果認證過期，服務主體就無法驗證，這可能會導致商務案例停機。 如果您的租戶有快要過期的憑證的服務主體，就會顯示這項建議。

服務主體憑證即將到期，如果：

• 它位於服務主體上，且會在接下來 30 天內到期。

下列認證不受此建議的豁免：

• 識別為過期但自那以後已從應用程式註冊中移除的認證。
• 到期日已失效的認證在受影響的資源清單中顯示為已完成。

值

在到期日之前更新服務主體的認證，對於確保作業不中斷並最大程度降低因認證過期而導致停機的風險，至關重要。

行動方案

此建議適用於 Microsoft Entra 系統管理中心，並使用 Microsoft Graph API。

Microsoft Entra 系統管理中心

1. 以安全性系統管理員的身分登入 Microsoft Entra 管理中心。

2. 流覽至 Entra ID>概覽。

3. 選取 [建議] 索引標籤，然後選取 [更新即將到期的服務主體認證] 建議。

4. 從 動作 欄中選取 更多資料。

5. 從開啟的面板中，選取 [ 更新認證 ] 以直接流覽至應用程式註冊的單 一登錄 區域。

   1. 或者，流覽至 Entra ID>應用程式註冊 ，並找出需要輪替認證的應用程式。

   

   1. 瀏覽至應用程式註冊的 [單一登錄] 區段。

6. 編輯 [SAML 簽署憑證] 區段，並遵循提示來新增憑證。

   

7. 成功新增憑證或密碼之後，請更新 SAML 簽署憑證組態，讓新的憑證成為作用中。

8. 確認應用程式如預期般運作，然後從 SAML 憑證集合中移除非作用中的 SAML 憑證。

注意

如果您沒有設定任何 SAML 認證，但收到此建議，請使用 Microsoft Graph ServicePrincipalAPI 端點來檢查服務主體對象的屬性。 找出並更新認證。

強烈建議您變更服務，使其能與備份應用程式對象上定義的認證搭配運作，而不是服務主體。

Microsoft圖形 API

下列要求可用來使用 Microsoft Graph API 擷取建議和受影響的資源。 若要使用 Microsoft Graph API，您需要 DirectoryRecommendations.Read.All 和 DirectoryRecommendations.ReadWrite.All 許可權。 如需詳細資訊，請參閱 如何使用身分識別建議。

使用 Microsoft Graph 更新服務主體認證時，您必須執行查詢以取得服務主體上的密碼認證、新增密碼認證，然後移除舊的認證。

1. 登入 Graph Explorer。
2. 從下拉式清單中選取 [GET] 作為 HTTP 方法。

若要取得租戶的所有建議：

GET https://graph.microsoft.com/beta/directory/recommendations

從回應中，尋找符合下列模式的建議標識碼： {tenantId}_servicePrincipalKeyExpiry。

若要識別受影響的資源：

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_servicePrincipalKeyExpiry

若要根據資源的狀態篩選資源清單，例如，只有標示為 active的資源：

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_ servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• 注意 AppId、CredentialId和您想要移除之認證的來源。
• 使用這些Microsoft Graph API 來新增密碼或金鑰認證：
  • addPassword 位址
  • 新增鍵
• 使用這些Microsoft Graph API 來移除舊的認證：
  • removePassword （刪除密碼）
  • 移除鍵

範例回覆

{
  "id": "ddddeeee-3333-ffff-4444-aaaa5555bbbb_ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

相關內容

• 檢閱Microsoft Entra 建議概觀
• 瞭解如何使用Microsoft Entra 建議
• 探索Microsoft圖形 API 屬性以取得建議
• 瞭解如何保護服務主體