Aanbeveling voor Microsoft Entra: Verlopende referenties voor service-principal vernieuwen (preview)

Microsoft Entra-aanbevelingen zijn een functie die u persoonlijke inzichten en bruikbare richtlijnen biedt om uw tenant af te stemmen op aanbevolen aanbevolen procedures.

Dit artikel behandelt de aanbeveling om verlopen service principal-referenties te vernieuwen. Deze aanbeveling wordt aangeroepen servicePrincipalKeyExpiry in de aanbevelingen-API in Microsoft Graph.

Vereisten

Er zijn verschillende rolvereisten voor het weergeven of bijwerken van een aanbeveling. Gebruik de rol met minimale bevoegdheden voor het type toegang dat nodig is. Zie Rollen met minimale bevoegdheden per taak voor een volledige lijst met rollen.

Microsoft Entra-rol	Toegangstype
Rapportenlezer	Alleen lezen
Beveiligingslezer	Alleen lezen
Wereldwijde lezer	Alleen lezen
Beheerder van verificatiebeleid	Bijwerken en lezen
Exchange-beheerder	Bijwerken en lezen
Beveiligingsbeheer	Bijwerken en lezen
DirectoryRecommendations.Read.All	Alleen-lezen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Bijwerken en lezen in Microsoft Graph

Voor sommige aanbevelingen is mogelijk een P2- of andere licentie vereist. Zie de overzichtstabel Aanbevelingenvoor meer informatie.

Beschrijving

Referenties voor de service-principal omvatten certificaten en clientgeheimen die zijn toegevoegd aan een service-principal. De inloggegevens worden gebruikt om de identiteit van die service-principal te bewijzen. Als de referenties verlopen, kan de service-principal niet authenticeren, wat downtime voor uw bedrijfsscenario kan veroorzaken. Deze aanbeveling verschijnt als uw tenant service principals heeft met referenties die binnenkort verlopen.

Een service-principal-referentie verloopt als:

• Het bevindt zich op een service-principal EN verloopt binnen de komende 30 dagen.

De volgende inloggegevens zijn uitgesloten van deze aanbeveling:

• Inloggegevens die als vervallend zijn geïdentificeerd, maar sindsdien uit de registratie van de toepassing zijn verwijderd.
• Referenties waarvan de vervaldatum is verstreken, worden weergegeven als voltooid in de lijst met beïnvloede bronnen.

Waarde

Het vernieuwen van de referenties van een service-principal vóór de vervaldatum is van cruciaal belang voor het onderhouden van ononderbroken bewerkingen en het minimaliseren van het risico op downtime als gevolg van verouderde referenties.

Actieplan

Deze aanbeveling is beschikbaar in het Microsoft Entra-beheercentrum en met behulp van de Microsoft Graph API.

Microsoft Entra-beheercentrum

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een beveiligingsbeheerder.

2. Blader naar Identiteit>Overzicht.

3. Selecteer het tabblad Aanbevelingen en selecteer de aanbeveling voor het vernieuwen van aflopende referenties voor service-principals.

4. Selecteer Meer details uit de Acties-kolom.

5. Selecteer referentie bijwerken in het deelvenster dat wordt geopend om rechtstreeks naar het gebied voor eenmalige aanmelding van de app-registratie te navigeren.

   1. U kunt ook naar Identiteit>Toepassingen>App-registraties bladeren en de toepassing zoeken waarvoor de referentie moet worden gewijzigd.

   

   1. Ga naar de sectie Eenmalige aanmelding van de app-registratie .

6. Bewerk de sectie SAML-handtekeningcertificaat en volg de aanwijzingen om een nieuw certificaat toe te voegen.

   

7. Zodra het certificaat of geheim is toegevoegd, werkt u de configuratie van het SAML-handtekeningcertificaat bij om het nieuwe certificaat actief te maken.

8. Controleer of de toepassing werkt zoals verwacht en verwijder vervolgens het inactieve SAML-certificaat uit de verzameling SAML-certificaten.

Notitie

Als u geen SAML-referenties hebt geconfigureerd, maar u deze aanbeveling hebt ontvangen, gebruikt u het Microsoft Graph ServicePrincipalAPI-eindpunt om de keyCredentials eigenschappen passwordCredentials van het service-principal-object te controleren. Zoek en draai de referentie.

We raden u ten zeerste aan uw service te wijzigen, zodat deze werkt met de referentie die is gedefinieerd op het ondersteunende toepassingsobject, in plaats van de service-principe.

Microsoft Graph API

De volgende aanvragen kunnen worden gebruikt om de aanbeveling en de betrokken resources op te halen met behulp van de Microsoft Graph API. Als u de Microsoft Graph API wilt gebruiken, hebt u de DirectoryRecommendations.Read.All en DirectoryRecommendations.ReadWrite.All machtigingen nodig. Zie Hoe Identity Recommendations te gebruiken voor meer informatie.

Wanneer u referenties voor de service-principal vernieuwt met Microsoft Graph, moet u een query uitvoeren om de wachtwoordreferenties op te halen voor een service-principal, een nieuwe wachtwoordreferentie toevoegen en vervolgens de oude referenties verwijderen.

1. Meld u aan bij Graph Explorer.
2. Selecteer GET als de HTTP-methode in de vervolgkeuzelijst.

Alle aanbevelingen voor uw tenant ophalen:

GET https://graph.microsoft.com/beta/directory/recommendations

Zoek in het antwoord de id van de aanbeveling die overeenkomt met het volgende patroon: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry.

Getroffen middelen identificeren

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

Als u de lijst met resources wilt filteren op basis van hun status, bijvoorbeeld alleen resources die zijn gemarkeerd als active:

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Noteer de AppId, CredentialIden de oorsprong van de referentie die u wilt verwijderen.
• Gebruik deze Microsoft Graph API's om een nieuw wachtwoord of sleutelreferentie toe te voegen:
  • addPassword
  • voegSleutelToe
• Gebruik deze Microsoft Graph API's om de oude referentie te verwijderen:
  • removePassword
  • sleutelVerwijderen

Voorbeeldrespons

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

Gerelateerde inhoud

• Bekijk het overzicht van microsoft Entra-aanbevelingen
• Meer informatie over het gebruik van Microsoft Entra-aanbevelingen
• De Microsoft Graph API-eigenschappen voor aanbevelingen verkennen
• Meer informatie over het beveiligen van service-principals