Raccomandazione di Microsoft Entra: Rinnovare le credenziali del principale del servizio in scadenza (anteprima)

Consigli di Microsoft Entra è una funzionalità che offre informazioni dettagliate personalizzate e indicazioni utili per allineare il tenant alle procedure consigliate.

Questo articolo illustra la raccomandazione di rinnovare le credenziali del principal del servizio in scadenza. Questo consiglio viene chiamato servicePrincipalKeyExpiry nell'API consigli in Microsoft Graph.

Prerequisiti

Esistono requisiti di ruolo diversi per la visualizzazione o l'aggiornamento di una raccomandazione. Usare il ruolo con privilegi minimi per il tipo di accesso necessario. Per un elenco completo dei ruoli, vedere Ruoli con privilegi minimi per attività.

Ruolo Microsoft Entra	Tipo di accesso
Lettore di report	Sola lettura
Lettore Sicurezza	Sola lettura
Lettore Globale	Sola lettura
Amministratore dei criteri di autenticazione	Aggiorna e leggi
Amministratore di Exchange	Aggiornamento e lettura
Amministratore della sicurezza	Aggiornamento e lettura
DirectoryRecommendations.Read.All	Sola lettura in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Aggiornare e leggere in Microsoft Graph

Alcune raccomandazioni potrebbero richiedere una licenza P2 o un'altra licenza. Per altre informazioni, vedere la tabella di panoramica delle raccomandazioni .

Descrizione

Le credenziali del principale del servizio includono certificati e segreti del client aggiunti a un principale del servizio. Le credenziali vengono usate per dimostrare l'identità del principale del servizio. Se le credenziali scadono, il principale del servizio non può autenticarsi, causando interruzioni per il tuo scenario aziendale. Questa raccomandazione viene visualizzata se il tenant ha dei principali di servizio con credenziali che stanno per scadere.

Una credenziale del principale del servizio scade se:

• Si trova in un'entità servizio e scade entro i 30 giorni successivi.

Le credenziali seguenti sono escluse da questa raccomandazione:

• Credenziali identificate come in scadenza, ma che sono state rimosse dalla registrazione dell'applicazione.
• Le credenziali la cui data di scadenza è scaduta vengono visualizzate come completate nell'elenco delle risorse interessate.

Valore

Il rinnovo delle credenziali di un'entità servizio prima della data di scadenza è fondamentale per mantenere operazioni ininterrotte e ridurre al minimo il rischio di tempi di inattività derivanti da credenziali obsolete.

Piano d'azione

Questa raccomandazione è disponibile nell'interfaccia di amministrazione di Microsoft Entra e tramite l'API Microsoft Graph.

Interfaccia di amministrazione di Microsoft Entra

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno come Amministratore della sicurezza.

2. Passare a Identità>Panoramica.

3. Selezionare la scheda Raccomandazioni e selezionare il suggerimento Rinnovare le credenziali dell'entità servizio in scadenza.

4. Selezionare Altri dettagli nella colonna Azioni .

5. Nel pannello visualizzato selezionare Aggiorna credenziali per passare direttamente all'area Single Sign-On della registrazione dell'app.

   1. In alternativa, passare a Identità>Applicazioni>Registrazioni dell'app e individuare l'applicazione per cui ruotare le credenziali.

   

   1. Passare alla sezione Single Sign-On della registrazione dell'app.

6. Modificare la sezione certificato di firma SAML e seguire le istruzioni per aggiungere un nuovo certificato.

   

7. Dopo aver aggiunto correttamente il certificato o il segreto, aggiornare la configurazione del certificato di firma SAML per rendere attivo il nuovo certificato.

8. Verificare che l'applicazione funzioni come previsto e quindi rimuovere il certificato SAML inattivo dalla raccolta di certificati SAML.

Nota

Se non si dispone di credenziali SAML configurate ma si riceve questa raccomandazione, usare l'endpoint Microsoft Graph ServicePrincipalAPI per controllare le keyCredentials proprietà e passwordCredentials dell'oggetto entità servizio. Individuare e ruotare la credenziale.

Raccomandiamo vivamente di modificare il servizio in modo che funzioni con la credenziale definita nell'oggetto applicativo di supporto anziché con l'entità servizio.

API di Microsoft Graph

Le richieste seguenti possono essere usate per recuperare la raccomandazione e le risorse interessate usando l'API Microsoft Graph. Per usare l'API Microsoft Graph, sono necessarie le DirectoryRecommendations.Read.All autorizzazioni e DirectoryRecommendations.ReadWrite.All . Per ulteriori informazioni, vedere Come utilizzare i consigli d'identità.

Quando si rinnovano le credenziali dell'entità servizio usando Microsoft Graph, è necessario eseguire una query per ottenere le credenziali di accesso su un'entità servizio, aggiungere una nuova credenziale di accesso e quindi rimuovere le credenziali precedenti.

1. Accedere a Graph explorer.
2. Selezionare GET come metodo HTTP dall'elenco a discesa.

Per recuperare tutti i suggerimenti per il tuo tenant:

GET https://graph.microsoft.com/beta/directory/recommendations

Dalla risposta trovare l'ID della raccomandazione corrispondente al modello seguente: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry.

Per identificare le risorse interessate:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

Per filtrare l'elenco delle risorse in base al relativo stato, ad esempio solo le risorse contrassegnate come active:

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Prendere nota di AppId, CredentialIde dell'origine delle credenziali da rimuovere.
• Usare queste API di Microsoft Graph per aggiungere una nuova password o una nuova credenziale della chiave:
  • addPassword
  • aggiungiChiave
• Usare queste API di Microsoft Graph per rimuovere le credenziali precedenti:
  • removePassword
  • removeKey

Risposta di esempio

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

Contenuto correlato

• Esaminare la panoramica dei consigli di Microsoft Entra
• Informazioni su come usare i consigli di Microsoft Entra
• Esplorare le proprietà dell'API Microsoft Graph per i consigli
• Informazioni sulla protezione delle entità servizio