Aanbeveling voor Microsoft Entra: Verlopende referenties voor service-principal vernieuwen (preview)

Microsoft Entra-aanbevelingen zijn een functie die u persoonlijke inzichten en bruikbare richtlijnen biedt om uw tenant af te stemmen op aanbevolen aanbevolen procedures.

In dit artikel wordt de aanbeveling beschreven voor het vernieuwen van verlopen service-principalreferenties. Deze aanbeveling wordt aangeroepen servicePrincipalKeyExpiry in de aanbevelingen-API in Microsoft Graph.

Vereisten

Er zijn verschillende rolvereisten voor het weergeven of bijwerken van een aanbeveling. Gebruik de rol met minimale bevoegdheden voor het type toegang dat nodig is. Zie Rollen met minimale bevoegdheden per taak voor een volledige lijst met rollen.

Microsoft Entra-rol	Toegangstype
Rapportenlezer	Alleen-lezen
Beveiligingslezer	Alleen-lezen
Algemene lezer	Alleen-lezen
Beheerder van verificatiebeleid	Bijwerken en lezen
Exchange-beheerder	Bijwerken en lezen
Beveiligingsbeheer	Bijwerken en lezen
DirectoryRecommendations.Read.All	Alleen-lezen in Microsoft Graph
DirectoryRecommendations.ReadWrite.All	Bijwerken en lezen in Microsoft Graph

Voor sommige aanbevelingen is mogelijk een P2- of andere licentie vereist. Zie De beschikbaarheids- en licentievereisten voor aanbevelingen voor meer informatie.

Beschrijving

Referenties voor de service-principal omvatten certificaten en clientgeheimen die zijn toegevoegd aan een service-principal. De referenties worden gebruikt om de identiteit van die service-principal te bewijzen. Als de referenties verlopen, kan de service-principal niet worden geverifieerd, wat downtime voor uw bedrijfsscenario kan veroorzaken. Deze aanbeveling wordt weergegeven als uw tenant service-principals heeft met referenties die binnenkort verlopen.

Een service-principalreferentie verloopt als:

• De service-principal verloopt binnen de komende 30 dagen.

De volgende referenties zijn uitgesloten van deze aanbeveling:

• Referenties die zijn geïdentificeerd als verlopen, maar die sindsdien zijn verwijderd uit de registratie van de toepassing.
• Referenties waarvan de vervaldatum is verstreken, worden weergegeven als voltooid in de lijst met betrokken resources.

Weergegeven als

Het vernieuwen van de referenties van een service-principal vóór de vervaldatum is van cruciaal belang voor het onderhouden van ononderbroken bewerkingen en het minimaliseren van het risico op downtime als gevolg van verouderde referenties.

Actieplan

Deze aanbeveling is beschikbaar in het Microsoft Entra-beheercentrum en met behulp van de Microsoft Graph API.

Microsoft Entra-beheercentrum

1. Meld u als beveiligingsbeheerder aan bij het Microsoft Entra-beheercentrum.

2. Blader naar Identiteitsoverzicht>.

3. Selecteer het tabblad Aanbevelingen en selecteer de aanbeveling voor het vernieuwen van verlopen service-principalreferenties .

4. Selecteer Meer details in de kolom Acties .

5. Selecteer referentie bijwerken in het deelvenster dat wordt geopend om rechtstreeks naar het gebied voor eenmalige aanmelding van de app-registratie te navigeren.

   1. U kunt ook naar Identiteitstoepassingen>> bladeren App-registraties en de toepassing zoeken waarvoor de referentie moet worden gedraaid.

   

   1. Ga naar de sectie Eenmalige aanmelding van de app-registratie .

6. Bewerk de sectie SAML-handtekeningcertificaat en volg de aanwijzingen om een nieuw certificaat toe te voegen.

   

7. Zodra het certificaat of geheim is toegevoegd, werkt u de configuratie van het SAML-handtekeningcertificaat bij om het nieuwe certificaat actief te maken.

8. Controleer of de toepassing werkt zoals verwacht en verwijder vervolgens het inactieve SAML-certificaat uit de verzameling SAML-certificaten.

Notitie

Als u geen SAML-referenties hebt geconfigureerd, maar u deze aanbeveling hebt ontvangen, gebruikt u het Microsoft Graph ServicePrincipalAPI-eindpunt om de keyCredentials eigenschappen passwordCredentials van het service-principal-object te controleren. Zoek en draai de referentie.

We raden u ten zeerste aan uw service te wijzigen, zodat deze werkt met de referenties die zijn gedefinieerd in het backing-toepassingsobject in plaats van de service-principal.

Microsoft Graph API

De volgende aanvragen kunnen worden gebruikt om de aanbeveling en de betrokken resources op te halen met behulp van de Microsoft Graph API. Als u de Microsoft Graph API wilt gebruiken, hebt u de DirectoryRecommendations.Read.All en DirectoryRecommendations.ReadWrite.All machtigingen nodig. Zie Identiteitsaanaanveling gebruiken voor meer informatie.

Wanneer u referenties voor de service-principal vernieuwt met Microsoft Graph, moet u een query uitvoeren om de wachtwoordreferenties op te halen voor een service-principal, een nieuwe wachtwoordreferentie toevoegen en vervolgens de oude referenties verwijderen.

1. Meld u aan bij Graph Explorer.
2. Selecteer GET als de HTTP-methode in de vervolgkeuzelijst.

Alle aanbevelingen voor uw tenant ophalen:

GET https://graph.microsoft.com/beta/directory/recommendations

Zoek in het antwoord de id van de aanbeveling die overeenkomt met het volgende patroon: {tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry.

Betrokken resources identificeren:

GET https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights.servicePrincipalKeyExpiry

Als u de lijst met resources wilt filteren op basis van hun status, bijvoorbeeld alleen resources die zijn gemarkeerd als active:

https://graph.microsoft.com/beta/directory/recommendations/{tenantId}_Microsoft.Identity.IAM.Insights. servicePrincipalKeyExpiry/impactedResources?$filter=status eq Microsoft.Graph.recommendationStatus'active'

• Noteer de AppId, CredentialIden de oorsprong van de referentie die u wilt verwijderen.
• Gebruik deze Microsoft Graph API's om een nieuw wachtwoord of sleutelreferentie toe te voegen:
  • addPassword
  • addKey
• Gebruik deze Microsoft Graph API's om de oude referentie te verwijderen:
  • removePassword
  • removeKey

Voorbeeldrespons

{
  "id": "536279f6-15cc-45f2-be2d-61e352b51eef_Microsoft.Identity.IAM.Insights.ServicePrincipalKeyExpiry",
  "recommendationType": "servicePrincipalKeyExpiry",
  "createdDateTime": "2022-05-29T00:11:17Z",
  "impactStartDateTime": "2022-05-29T00:11:17Z",
  "postponeUntilDateTime": null,
  "lastModifiedDateTime": "2024-07-26T12:31:58Z",
  "lastModifiedBy": "System",
  "displayName": "Renew expiring service principal credentials",
  "featureAreas": [
    "applications"
  ],
  "insights": "Your tenant has service principals with credentials that will expire soon.",
  "benefits": "Renewing the service principal credential(s) before expiration ensures the application continues to function and reduces the possibility of downtime due to an expired credential.",
  "category": "identityBestPractice",
  "status": "completedBySystem",
  "priority": "high",
  "requiredLicenses": "microsoftEntraWorkloadId",
  "impactType": "apps",
  "actionSteps": [
    {
      "stepNumber": 1,
      "text": "1. Navigate to the Enterprise applications section and locate the Enterprise application for which the credential needs to be rotated."
    },
    {
      "stepNumber": 2,
      "text": "2. Navigate to the “Single sign-on” blade."
    },
    {
      "stepNumber": 3,
      "text": "3. Edit the 'SAML signing certificate' section and follow prompts to add a new certificate."
    },
    {
      "stepNumber": 4,
      "text": "4. After adding the certificate, change its properties to make certificate active. This will make the previous certificate inactive."
    },
    {
      "stepNumber": 5,
      "text": "5. Once the certificate is successfully added and activated, validate that your service is working with the new credential, and remove the old credential."
    },
    {
      "stepNumber": 6,
      "text": "6. If the service principal does not show any credentials after navigating to the enterprise apps blade, we recommend checking the 'passwordCredentials' and 'keyCredentials' property of the service principal object using PowerShell or Microsoft Graph service principal API and use the Microsoft Graph API to rotate credentials."
    }
  ]
}

Gerelateerde inhoud

• Bekijk het overzicht van microsoft Entra-aanbevelingen
• Meer informatie over het gebruik van Microsoft Entra-aanbevelingen
• De Microsoft Graph API-eigenschappen voor aanbevelingen verkennen
• Meer informatie over het beveiligen van service-principals