Microsoft Entra 建议:续订即将过期的服务主体凭据(预览)

Microsoft Entra 建议功能可提供个性化的见解和可操作的指导,以使租户与建议的最佳做法保持一致。

本文介绍续订即将过期的服务主体凭据的建议。 此建议在 Microsoft Graph 的建议 API 中称为 servicePrincipalKeyExpiry

先决条件

查看或更新建议有不同的角色要求。 对所需的访问类型使用最低特权角色。 有关角色的完整列表,请参阅按任务列出的最低特权角色

Microsoft Entra 角色 访问类型
报告读者 只读
安全读取者 只读
全局读取者 只读
身份验证策略管理员 更新和读取
Exchange 管理员 更新和读取
安全管理员 更新和读取
DirectoryRecommendations.Read.All 在 Microsoft Graph 中只读
DirectoryRecommendations.ReadWrite.All 在 Microsoft Graph 中更新和读取

某些建议可能需要 P2 或其他许可证。 有关详细信息,请参阅建议可用性和许可证要求

说明

服务主体凭据包括添加到服务主体的证书和客户端机密。 凭据用于证明该服务主体的标识。 如果凭据过期,服务主体无法进行身份验证,这可能会导致业务方案停机。 如果租户具有即将过期的凭据的服务主体,则会显示此建议。

如果:

  • 它位于服务主体上,并且在接下来的 30 天内过期。

以下凭据不受此建议的豁免:

  • 标识为过期但此后已从应用程序注册中删除的凭据。
  • 过期日期已失效的凭据在受影响的资源列表中显示为已完成

在到期日期之前续订服务主体的凭据对于保持不间断的操作至关重要,并最大程度地降低因过期凭据而导致的任何停机时间的风险。

操作计划

此建议可在 Microsoft Entra 管理中心使用 Microsoft 图形 API。

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“概述”。

  3. 选择“建议”选项卡,然后选择“续订即将过期的服务主体凭据”建议。

  4. 从“操作”列中选择“更多详细信息”。

  5. 在打开的面板中,选择“更新凭据以直接导航到应用注册的单一登录区域。

    1. 或者,浏览到标识>应用程序>应用注册并找到需要轮换凭据的应用程序。

    Microsoft Entra 应用注册页的屏幕截图。

    1. 导航到 应用注册的单一登录 部分。
  6. 编辑“SAML 签名证书”部分,并按照提示添加新证书。

    编辑单一登录过程的屏幕截图。

  7. 成功添加证书或机密后,更新 SAML 签名证书配置以使新证书处于活动状态。

  8. 验证应用程序是否按预期工作,然后从 SAML 证书集合中删除非活动 SAML 证书。

注意

如果没有配置任何 SAML 凭据,但收到此建议,请使用 Microsoft Graph ServicePrincipalAPI 终结点检查keyCredentials服务主体对象的和passwordCredentials属性。 找到并轮换凭据。

强烈建议更改服务,使其适用于在支持应用程序对象上定义的凭据,而不是服务主体。