Raccomandazione di Microsoft Entra: Rinnovare le credenziali dell'entità servizio in scadenza (anteprima)

Consigli di Microsoft Entra è una funzionalità che offre informazioni dettagliate personalizzate e indicazioni utili per allineare il tenant alle procedure consigliate.

Questo articolo illustra la raccomandazione di rinnovare le credenziali dell'entità servizio in scadenza. Questo consiglio viene chiamato servicePrincipalKeyExpiry nell'API consigli in Microsoft Graph.

Prerequisiti

Esistono requisiti di ruolo diversi per la visualizzazione o l'aggiornamento di una raccomandazione. Usare il ruolo con privilegi minimi per il tipo di accesso necessario. Per un elenco completo dei ruoli, vedere Ruoli con privilegi minimi per attività.

Ruolo Microsoft Entra	Tipo di accesso
Amministratore che legge i report	Sola lettura
Ruolo con autorizzazioni di lettura per la sicurezza	Sola lettura
Ruolo con autorizzazioni di lettura globali	Sola lettura
Amministratore dei criteri di autenticazione	Lettura e aggiornamento
Amministratore di Exchange	Lettura e aggiornamento
Amministratore della sicurezza	Lettura e aggiornamento
DirectoryRecommendations.Read.All	Sola lettura in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aggiornare e leggere in Microsoft Graph

Alcune raccomandazioni potrebbero richiedere una licenza P2 o un'altra licenza. Per altre informazioni, vedere la tabella di panoramica delle raccomandazioni .

Descrizione

Le credenziali dell'entità servizio includono certificati e segreti client aggiunti a un'entità servizio. Le credenziali vengono usate per dimostrare l'identità dell'entità servizio. Se le credenziali scadono, l'entità servizio non può eseguire l'autenticazione, causando tempi di inattività per lo scenario aziendale. Questa raccomandazione viene visualizzata se il tenant dispone di entità servizio con credenziali che scadono a breve.

Una credenziale dell'entità servizio scade se:

• Si trova in un'entità servizio e scade entro i 30 giorni successivi.

Le credenziali seguenti sono escluse da questa raccomandazione:

• Credenziali identificate come in scadenza, ma che sono state rimosse dalla registrazione dell'applicazione.
• Le credenziali la cui data di scadenza è scaduta vengono visualizzate come completate nell'elenco delle risorse interessate.

Valore

Il rinnovo delle credenziali di un'entità servizio prima della data di scadenza è fondamentale per mantenere operazioni ininterrotte e ridurre al minimo il rischio di tempi di inattività derivanti da credenziali obsolete.

Piano d'azione

Questa raccomandazione è disponibile nell'interfaccia di amministrazione di Microsoft Entra e tramite l'API Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

2. Passare a Identità>Panoramica.

3. Selezionare la scheda Raccomandazioni e selezionare la raccomandazione Rinnovare le credenziali dell'entità servizio in scadenza.

4. Selezionare Altri dettagli nella colonna Azioni .

5. Nel pannello visualizzato selezionare Aggiorna credenziali per passare direttamente all'area Single Sign-On della registrazione dell'app.

   1. In alternativa, passare a > e individuare l'applicazione per cui devono essere ruotate le credenziali.

   

   1. Passare alla sezione Single Sign-On della registrazione dell'app.

6. Modificare la sezione certificato di firma SAML e seguire le istruzioni per aggiungere un nuovo certificato.

   

7. Dopo aver aggiunto correttamente il certificato o il segreto, aggiornare la configurazione del certificato di firma SAML per rendere attivo il nuovo certificato.

8. Verificare che l'applicazione funzioni come previsto e quindi rimuovere il certificato SAML inattivo dalla raccolta di certificati SAML.

Nota

Se non si dispone di credenziali SAML configurate ma si riceve questa raccomandazione, usare l'endpoint Microsoft Graph ServicePrincipalAPI per controllare le keyCredentials proprietà e passwordCredentials dell'oggetto entità servizio. Individuare e ruotare le credenziali.

È consigliabile modificare il servizio in modo che funzioni con le credenziali definite nell'oggetto applicazione di backup anziché con l'entità servizio.

API di Microsoft Graph

Le richieste seguenti possono essere usate per recuperare la raccomandazione e le risorse interessate usando l'API Microsoft Graph. Per usare l'API Microsoft Graph, sono necessarie le DirectoryRecommendations.Read.All autorizzazioni e DirectoryRecommendations.ReadWrite.All . Per altre informazioni, vedere How to use Identity Recommendations.For more information, see How to use Identity Recommendations.

Quando si rinnovano le credenziali dell'entità servizio usando Microsoft Graph, è necessario eseguire una query per ottenere le credenziali della password in un'entità servizio, aggiungere una nuova credenziale della password e quindi rimuovere le credenziali precedenti.

1. Accedere a Graph explorer.
2. Selezionare GET come metodo HTTP dall'elenco a discesa.

Per recuperare tutte le raccomandazioni per il tenant:

GET https://graph.microsoft.com/beta/directory/recommendations

Dalla risposta trovare l'ID della raccomandazione corrispondente al modello seguente: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry.

Per identificare le risorse interessate:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

Per filtrare l'elenco delle risorse in base al relativo stato, ad esempio solo le risorse contrassegnate come active:

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Prendere nota di AppId, CredentialIde dell'origine delle credenziali da rimuovere.
• Usare queste API di Microsoft Graph per aggiungere una nuova password o una nuova credenziale della chiave:
  • addPassword
  • addKey
• Usare queste API di Microsoft Graph per rimuovere le credenziali precedenti:
  • removePassword
  • removeKey

Risposta di esempio

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

Contenuto correlato

• Esaminare la panoramica dei consigli di Microsoft Entra
• Informazioni su come usare i consigli di Microsoft Entra
• Esplorare le proprietà dell'API Microsoft Graph per i consigli
• Informazioni sulla protezione delle entità servizio