Partager via


Recommandation Microsoft Entra : renouveler les informations d’identification du principal de service qui arrivent à expiration (préversion)

Les recommandations Microsoft Entra constituent une fonctionnalité qui vous fournit des informations personnalisées et des conseils exploitables pour adapter votre locataire aux meilleures pratiques recommandées.

Cet article décrit la recommandation concernant le renouvellement des informations d’identification du principal de service qui arrivent à expiration. Cette recommandation est appelée servicePrincipalKeyExpiry dans l’API recommandations de Microsoft Graph.

Prérequis

Il existe différentes exigences de rôle pour afficher ou mettre à jour une recommandation. Utilisez le rôle ayant un privilège minimal pour le type d’accès nécessaire. Pour obtenir la liste complète des rôles, consultez Rôles privilégiés minimum par tâche.

Rôle Microsoft Entra Type d’accès
Lecteur de rapports Lecture seule
Lecteur Sécurité Lecture seule
Lecteur général Lecture seule
Administrateur de la stratégie d’authentification Mettre à jour et lire
Administrateur Exchange Mettre à jour et lire
Security Administrator Mettre à jour et lire
DirectoryRecommendations.Read.All Lecture seule dans Microsoft Graph
DirectoryRecommendations.ReadWrite.All Mettre à jour et lire dans Microsoft Graph

Certaines recommandations peuvent nécessiter une licence P2 ou autre. Pour plus d’informations, consultez Conditions de licence et de disponibilité des recommandations.

Description

Les informations d’identification du principal de service incluent les certificats et les secrets clients ajoutés à un principal de service. Les informations d’identification sont utilisées pour prouver l’identité de ce principal de service. Si les informations d’identification expirent, le principal de service ne peut pas s’authentifier, ce qui peut entraîner un temps d’arrêt pour votre scénario métier. Cette recommandation s’affiche si votre locataire a des principaux de service avec des informations d’identification qui arrivent bientôt à expiration.

Les informations d’identification d’un principal de service expirent si :

  • Il est sur un principal de service ET expire dans les 30 prochains jours.

Les informations d’identification suivantes sont exemptées de cette recommandation :

  • Informations d’identification identifiées comme arrivant à expiration, mais qui ont depuis été supprimées de l’inscription d’application.
  • Les informations d’identification dont la date d’expiration est caduque s’affichent comme terminées dans la liste des Ressources impactées.

Valeur

La vérification des informations d’identification d’un principal de service avant leur date d’expiration est cruciale pour un maintien ininterrompu des opérations et une minimisation du risque de temps d’arrêt résultant d’informations d’identification obsolètes.

Plan d’action

Cette recommandation est disponible dans le centre d’administration Microsoft Entra et via l’API Microsoft Graph.

  1. Connectez-vous au Centre d’administration de Microsoft Entra en tant qu’Administrateur de la sécurité.

  2. Accédez à Identité>Vue d’ensemble.

  3. Sélectionnez l’onglet Recommandations et sélectionnez la recommandation Renouveler les informations d’identification du principal de service arrivant à expiration.

  4. Sélectionnez Détails supplémentaires de la colonne Actions.

  5. Dans le panneau qui s’ouvre, sélectionnez Mettre à jour les informations d’identification pour accéder directement à la zone d’authentification unique de l’inscription de l’application.

    1. Vous pouvez également accédez àIdentité>Applications>Inscriptions d’applications et recherchez l’application dont les informations d’identification doivent faire l’objet d’une rotation.

    Capture d’écran de la page Inscription d’application Microsoft Entra.

    1. Accédez à la section Authentification unique de l’inscription de l’application.
  6. Modifiez la section Certificat de signature SAML et suivez les invites pour ajouter un nouveau certificat.

    Capture d’écran du processus de modification de l’authentification unique.

  7. Une fois le certificat ou le secret ajouté, mettez à jour la configuration du certificat de signature SAML pour activer le nouveau certificat.

  8. Vérifiez que l’application fonctionne comme prévu, puis supprimez le certificat SAML inactif de la collection de certificats SAML.

Remarque

Si vous n’avez pas configuré d’informations d’identification SAML, mais que vous avez reçu cette recommandation, utilisez le point de terminaison Microsoft Graph ServicePrincipalAPI pour vérifier les propriétés keyCredentials et passwordCredentials de l’objet principal de service. Recherchez et faites pivoter les informations d’identification.

Nous vous recommandons vivement de modifier votre service afin qu’il fonctionne avec les informations d’identification définies sur l’objet d’application de stockage au lieu du principal de service.