Microsoft Entra-Empfehlung: Ablaufende Dienstprinzipal-Anmeldeinformationen erneuern (Vorschau)

Microsoft Entra-Empfehlungen sind ein Feature, das Ihnen personalisierte Erkenntnisse und handlungsrelevante Anleitungen bietet, um Ihren Mandanten an empfohlenen Best Practices auszurichten.

In diesem Artikel wird die Empfehlung behandelt, ablaufende Dienstprinzipal-Anmeldeinformationen zu verlängern. In der Empfehlungs-API in Microsoft Graph wird diese Empfehlung servicePrincipalKeyExpiry genannt.

Voraussetzungen

Für das Anzeigen oder Aktualisieren einer Empfehlung gelten unterschiedliche Rollenanforderungen. Verwenden Sie die Rolle mit den geringsten Privilegien für die Art des erforderlichen Zugriffs. Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Microsoft Entra-Rolle	Zugriffstyp
Meldet Reader	Schreibgeschützt
Sicherheitsleseberechtigter	Schreibgeschützt
Globaler Leser	Schreibgeschützt
Authentifizierungsadministrator Richtlinien	Aktualisieren und Lesen
Exchange-Administrator	Aktualisieren und Lesen
Sicherheitsadministrator	Aktualisieren und Lesen
DirectoryRecommendations.Read.All	Nur Lesen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualisieren und Lesen in Microsoft Graph

Einige Empfehlungen erfordern möglicherweise eine P2- oder andere Lizenz. Weitere Informationen finden Sie unter Verfügbarkeit von Empfehlungen und Lizenzanforderungen.

Beschreibung

Dienstprinzipalanmeldeinformationen umfassen Zertifikate und geheime Clientschlüssel, die einem Dienstprinzipal hinzugefügt wurden. Die Anmeldeinformationen werden verwendet, um die Identität dieses Dienstprinzipals zu beweisen. Wenn die Anmeldeinformationen ablaufen, kann der Dienstprinzipal sich nicht authentifizieren, was zu Ausfallzeiten für Ihr Geschäftsszenario führen kann. Diese Empfehlung wird angezeigt, wenn Ihr Mandant Dienstprinzipale mit Anmeldeinformationen enthält, die in Kürze ablaufen.

Eine Dienstprinzipalanmeldeinformation läuft ab, wenn:

• Es befindet sich auf einem Dienstprinzipal UND läuft innerhalb der nächsten 30 Tage ab.

Die folgenden Anmeldeinformationen sind von dieser Empfehlung ausgenommen:

• Anmeldeinformationen, die als ablaufend identifiziert wurden, aber seitdem aus der Anwendungsregistrierung entfernt wurden.
• Anmeldeinformationen, deren Ablaufdatum abgelaufen ist, werden in der Liste der betroffenen Ressourcen als abgeschlossen angezeigt.

Wert

Die Verlängerung der Anmeldeinformationen eines Dienstprinzipals vor dem Ablaufdatum ist entscheidend für die Aufrechterhaltung unterbrechungsfreier Vorgänge und die Minimierung des Risikos von Ausfallzeiten aufgrund veralteter Anmeldeinformationen.

Maßnahmenplan

Diese Empfehlung ist im Microsoft Entra Admin Center und mit der Microsoft Graph-API verfügbar.

Microsoft Entra Admin Center

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Browsen Sie zu Identität>Übersicht.

3. Wählen Sie die Registerkarte Empfehlungen und dann die Empfehlung Ablaufende Dienstprinzipal-Anmeldeinformationen verlängern aus.

4. Wählen Sie "Weitere Details" in der Spalte "Aktionen " aus.

5. Wählen Sie im daraufhin geöffneten Bereich "Anmeldeinformationen aktualisieren" aus, um direkt zum Bereich "Einmaliges Anmelden" der App-Registrierung zu navigieren.

   1. Alternativ können Sie zu Identitätsanwendungen>> navigieren App-Registrierungen und die Anwendung suchen, für die die Anmeldeinformationen gedreht werden müssen.

   

   1. Navigieren Sie zum Abschnitt "Einmaliges Anmelden" der App-Registrierung .

6. Bearbeiten Sie den Abschnitt SAML-Signaturzertifikat und befolgen Sie die Anweisungen, um ein neues Zertifikat hinzuzufügen.

   

7. Nachdem das Zertifikat oder der geheime Schlüssel erfolgreich hinzugefügt wurde, aktualisieren Sie die SAML-Signaturzertifikatkonfiguration, um das neue Zertifikat zu aktivieren.

8. Stellen Sie sicher, dass die Anwendung wie erwartet funktioniert, und entfernen Sie dann das inaktive SAML-Zertifikat aus der SAML-Zertifikatsammlung.

Hinweis

Wenn Sie keine SAML-Anmeldeinformationen konfiguriert haben, diese Empfehlung erhalten haben, verwenden Sie den Microsoft Graph ServicePrincipalAPI-Endpunkt , um die keyCredentials Eigenschaften passwordCredentials des Dienstprinzipalobjekts zu überprüfen. Suchen und drehen Sie die Anmeldeinformationen.

Es wird dringend empfohlen, Ihren Dienst so zu ändern, dass er mit den anmeldeinformationen funktioniert, die für das Sicherungsanwendungsobjekt definiert sind, anstatt mit dem Dienstprinzipal.

Microsoft Graph-API

Die folgenden Anforderungen können verwendet werden, um die Empfehlung und die betroffenen Ressourcen mithilfe der Microsoft Graph-API abzurufen. Um die Microsoft Graph-API zu verwenden, benötigen Sie die und DirectoryRecommendations.ReadWrite.All die DirectoryRecommendations.Read.All Berechtigungen. Weitere Informationen finden Sie unter Verwenden von Identitätsempfehlungen.

Wenn Sie die Dienstprinzipal-Anmeldeinformationen mithilfe von Microsoft Graph verlängern, müssen Sie eine Abfrage ausführen, um die Kennwort-Anmeldeinformationen für einen Dienstprinzipal abzurufen, neue Kennwort-Anmeldeinformationen hinzuzufügen und dann die alten Anmeldeinformationen zu entfernen.

1. Melden Sie sich bei Graph Explorer an.
2. Wählen Sie in der Dropdownliste GET als HTTP-Methode aus.

So rufen Sie alle Empfehlungen für Ihren Mandanten ab:

GET https://graph.microsoft.com/beta/directory/recommendations

Suchen Sie in der Antwort die ID der Empfehlung, die dem folgenden Muster entspricht: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry.

So identifizieren Sie betroffene Ressourcen:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

So filtern Sie die Liste der Ressourcen basierend auf ihrem Status, z. B. nur Ressourcen, die als active:

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Notieren Sie sich die AppIdCredentialIdAnmeldeinformationen und den Ursprung der Anmeldeinformationen, die Sie entfernen möchten.
• Verwenden Sie diese Microsoft Graph-APIs, um ein neues Kennwort oder schlüsselinformationen hinzuzufügen:
  • addPassword
  • addKey
• Verwenden Sie diese Microsoft Graph-APIs, um die alten Anmeldeinformationen zu entfernen:
  • removePassword
  • removeKey

Beispiel für eine Antwort

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

Zugehöriger Inhalt

• Lesen Sie die Übersicht über Microsoft Entra-Empfehlungen
• Erfahren Sie, wie Sie Microsoft Entra-Empfehlungen verwenden
• Sehen Sie sich die Microsoft Graph-API-Eigenschaften an, um Empfehlungen zu erhalten.
• Erfahren Sie mehr über das Schützen von Dienstprinzipalen