Microsoft Entra 建議:更新即將到期的服務主體認證 (預覽)
Microsoft Entra 建議這項功能可提供個人化的深入解析和可行的指引,讓租用戶符合建議最佳做法。
本文介紹更新即將到期之服務主體認證的建議。 此建議在 Microsoft Graph 的建議 API 中名為 servicePrincipalKeyExpiry。
必要條件
檢視或更新建議有不同的角色需求。 針對所需的存取類型,使用最低特殊權限角色。 如需角色的完整清單,請參閱<工作的最低特殊權限角色>。
| Microsoft Entra 角色 | 存取類型 |
|---|---|
| 報告讀取者 | 唯讀 |
| 安全性讀取者 | 唯讀 |
| 全域讀取者 | 唯讀 |
| 驗證原則管理員 | 更新及讀取 |
| Exchange 系統管理員 | 更新及讀取 |
| 安全性系統管理員 | 更新及讀取 |
DirectoryRecommendations.Read.All |
Microsoft Graph 中的唯讀 |
DirectoryRecommendations.ReadWrite.All |
在 Microsoft Graph 中更新和讀取 |
某些建議可能需要 P2 或其他授權。 如需詳細資訊,請參閱 Recommendations 概觀數據表。
描述
服務主體認證包括新增至服務主體的憑證和客戶端密碼。 認證可用來證明該服務主體的身分識別。 如果認證過期,服務主體就無法驗證,這可能會導致商務案例停機。 如果您的租用戶有即將到期之認證的服務主體,就會顯示這項建議。
如果:
- 它位於服務主體上,且會在接下來 30 天內到期。
下列認證不受此建議的豁免:
- 識別為過期但自那以後已從應用程式註冊中移除的認證。
- 到期日已失效的認證會顯示為受影響的資源清單中已完成。
值
在到期日之前更新服務主體的認證,對於維護不間斷的作業,並將因過期認證所造成的任何停機時間的風險降到最低。
行動方案
此建議適用於 Microsoft Entra 系統管理中心,並使用 Microsoft Graph API。
至少以安全性系統管理員 (部分機器翻譯) 的身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別]>[概觀]。
選取 [建議] 索引標籤,然後選取 [更新即將到期的服務主體認證] 建議。
從 [動作] 資料行選取 [更多詳細數據]。
從開啟的面板中,選取 [更新認證 ] 以直接流覽至 應用程式註冊的單一登錄 區域。
- 或者,流覽至 [>> 並找出需要輪替認證的應用程式。
- 瀏覽至 應用程式註冊的 [單一登錄] 區段。
編輯 [SAML 簽署憑證] 區段,並遵循提示來新增憑證。
成功新增憑證或密碼之後,請更新 SAML 簽署憑證組態,讓新的憑證成為作用中。
確認應用程式如預期般運作,然後從 SAML 憑證集合中移除非作用中的 SAML 憑證。
注意
如果您沒有設定任何 SAML 認證,但收到此建議,請使用 Microsoft Graph ServicePrincipalAPI 找出並輪替認證。
強烈建議您變更服務,使其能與備份應用程式對象上定義的認證搭配運作,而不是服務主體。