Microsoft Entra-Empfehlung: Ablaufende Dienstprinzipal-Anmeldeinformationen erneuern (Vorschau)

Microsoft Entra-Empfehlungen sind ein Feature, das Ihnen personalisierte Erkenntnisse und handlungsrelevante Anleitungen bietet, um Ihren Mandanten an empfohlenen Best Practices auszurichten.

In diesem Artikel wird die Empfehlung behandelt, ablaufende Dienstprinzipal-Anmeldeinformationen zu verlängern. In der Empfehlungs-API in Microsoft Graph wird diese Empfehlung servicePrincipalKeyExpiry genannt.

Voraussetzungen

Für das Anzeigen oder Aktualisieren einer Empfehlung gelten unterschiedliche Rollenanforderungen. Verwenden Sie die Rolle mit den geringsten Privilegien für die Art des erforderlichen Zugriffs. Eine vollständige Liste der Rollen finden Sie unter Rolle mit den geringsten Privilegien nach Aufgabe.

Microsoft Entra-Rolle	Zugriffstyp
Meldet Reader	Schreibgeschützt
Sicherheitsleseberechtigter	Schreibgeschützt
Globaler Leser	Schreibgeschützt
Authentifizierungsadministrator Richtlinien	Aktualisieren und Lesen
Exchange-Administrator	Aktualisieren und Lesen
Sicherheitsadministrator	Aktualisieren und Lesen
DirectoryRecommendations.Read.All	Nur Lesen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aktualisieren und Lesen in Microsoft Graph

Einige Empfehlungen erfordern möglicherweise eine P2- oder andere Lizenz. Weitere Informationen finden Sie unter Verfügbarkeit von Empfehlungen und Lizenzanforderungen.

Beschreibung

Anmeldeinformationen von Dienstprinzipalen umfassen Zertifikate und geheime Clientschlüssel, die einem Dienstprinzipal hinzugefügt wurden. Diese Anmeldeinformationen werden verwendet, um die Identität des Dienstprinzipals nachzuweisen. Wenn die Anmeldeinformationen ablaufen, kann der Dienstprinzipal sich nicht authentifizieren, was zu Ausfallzeiten führen kann. Diese Empfehlung wird angezeigt, wenn Ihr Mandant über Dienstprinzipale mit Anmeldeinformationen verfügt, die bald ablaufen.

Anmeldeinformationen eines Dienstprinzipals laufen ab, wenn:

• Sie sich in einem Dienstprinzipal befinden UND innerhalb der nächsten 30 Tage ablaufen.

Die folgenden Anmeldeinformationen sind von dieser Empfehlung ausgenommen:

• Anmeldeinformationen, die als ablaufend identifiziert wurden, aber seitdem aus der Anwendungsregistrierung entfernt wurden.
• Anmeldeinformationen, deren Ablaufdatum überschritten ist, werden als abgeschlossen in der Liste Betroffene Ressourcen angezeigt.

Wert

Das Erneuern der Anmeldeinformationen eines Dienstprinzipals vor dem Ablaufdatum ist entscheidend für die Gewährleistung unterbrechungsfreier Vorgänge und die Minimierung des Risikos von Ausfallzeiten aufgrund veralteter Anmeldeinformationen.

Maßnahmenplan

Die Empfehlung ist im Microsoft Entra Admin Center oder mithilfe der Microsoft Graph-API verfügbar.

Microsoft Entra Admin Center

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Sicherheitsadministrator an.

2. Browsen Sie zu Identität>Übersicht.

3. Wählen Sie die Registerkarte Empfehlungen und dann die Empfehlung Ablaufende Dienstprinzipal-Anmeldeinformationen verlängern aus.

4. Wählen Sie Weitere Details in der Spalte Aktionen aus.

5. Wählen Sie im sich öffnenden Bereich Anmeldeinformationen aktualisieren aus, um direkt zum Bereich Single Sign-On der App-Registrierung zu navigieren, um die nicht verwendete Anmeldeinformation zu entfernen.

   1. Navigieren Sie alternativ zu Identität>Anwendungen>App-Registrierungen und suchen Sie die Anwendung, für die die Anmeldeinformationen rotiert werden müssen.

   

   1. Navigieren Sie zum Abschnitt Single Sign-On der App-Registrierung.

6. Bearbeiten Sie den Abschnitt SAML-Signaturzertifikat und befolgen Sie die Anweisungen, um ein neues Zertifikat hinzuzufügen.

   

7. Nachdem das Zertifikat oder das Geheimnis erfolgreich hinzugefügt wurde, aktualisieren Sie die Konfiguration des SAML-Signaturzertifikats, um das neue Zertifikat zu aktivieren.

8. Stellen Sie sicher, dass die Anwendung wie erwartet funktioniert, und entfernen Sie dann das inaktive SAML-Zertifikat aus der SAML-Zertifikatsammlung.

Hinweis

Wenn Sie keine SAML-Anmeldeinformationen konfiguriert und diese Empfehlung dennoch erhalten haben, verwenden Sie den Microsoft Graph-Endpunkt ServicePrincipalAPI, um die Eigenschaften keyCredentials und passwordCredentials des Dienstprinzipalobjekts zu überprüfen. Suchen und drehen Sie die Anmeldeinformationen.

Es wird dringend empfohlen, Ihren Dienst so zu ändern, dass er mit den Anmeldeinformationen verwendet werden kann, die für das Sicherungsanwendungsobjekt definiert sind, anstatt mit dem Dienstprinzipal.

Microsoft Graph-API

Die folgenden Anforderungen können verwendet werden, um die Empfehlung und die betroffenen Ressourcen mithilfe der Microsoft Graph-API abzurufen. Um die Microsoft Graph-API zu verwenden, benötigen Sie die Berechtigungen DirectoryRecommendations.Read.All und DirectoryRecommendations.ReadWrite.All. Weitere Informationen finden Sie unter Verwenden von Identitätsempfehlungen.

Wenn Sie die Dienstprinzipal-Anmeldeinformationen mithilfe von Microsoft Graph verlängern, müssen Sie eine Abfrage ausführen, um die Kennwort-Anmeldeinformationen für einen Dienstprinzipal abzurufen, neue Kennwort-Anmeldeinformationen hinzuzufügen und dann die alten Anmeldeinformationen zu entfernen.

1. Melden Sie sich bei Graph Explorer an.
2. Wählen Sie in der Dropdownliste GET als HTTP-Methode aus.

Gehen Sie folgendermaßen vor, um alle Empfehlungen für Ihren Mandanten abzurufen:

GET https://graph.microsoft.com/beta/directory/recommendations

Suchen Sie in der Antwort die ID der Empfehlung, die dem folgenden Muster entspricht: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry.

Die betroffenen Ressourcen können Sie folgendermaßen identifizieren:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

So filtern Sie die Liste der Ressourcen nach ihrem Status, z. B. nur nach Ressourcen, die als activegekennzeichnet sind:

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Notieren Sie sich die AppId, CredentialId und den Ursprung der Anmeldeinformation, die Sie entfernen möchten.
• Verwenden Sie diese Microsoft Graph-APIs, um ein neues Kennwort oder eine Schlüsselanmeldeinformation hinzuzufügen:
  • addPassword
  • addKey
• Verwenden Sie diese Microsoft Graph-APIs, um die alten Anmeldeinformationen zu entfernen:
  • removePassword
  • removeKey

Beispiel für eine Antwort

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

Zugehöriger Inhalt

• Lesen Sie die Übersicht über Microsoft Entra-Empfehlungen
• Erfahren Sie, wie Sie Microsoft Entra-Empfehlungen verwenden
• Sehen Sie sich die Microsoft Graph-API-Eigenschaften an, um Empfehlungen zu erhalten.
• Erfahren Sie mehr über das Schützen von Dienstprinzipalen