Microsoft Entra 建议:续订即将过期的服务主体凭据(预览)

Microsoft Entra 建议功能可提供个性化的见解和可操作的指导,以使租户与建议的最佳做法保持一致。

本文介绍续订即将过期的服务主体凭据的建议。 此建议在 Microsoft Graph 的建议 API 中称为 servicePrincipalKeyExpiry

说明

Microsoft Entra 服务主体是单个 租户或目录中应用程序对象的本地表示形式。 服务主体定义谁可以访问应用程序以及应用程序可以访问哪些资源。 服务主体的身份验证通常使用具有有效期的证书凭据来完成。 如果凭据过期,则应用程序无法向租户进行身份验证。

如果租户的服务主体具有即将过期的凭据,则会显示此建议。

在服务主体凭据过期前进行续订可确保应用程序继续运行,并降低因过期凭据而产生故障时间的可能性。

操作计划

  1. 至少以安全管理员身份登录到 Microsoft Entra 管理中心

  2. 浏览到“标识”>“概述”。

  3. 选择“建议”选项卡,然后选择“续订即将过期的服务主体凭据”建议。

  4. 从“受影响的资源”列表中选择应用程序的名称,直接转到所选应用程序的“企业应用程序 - 单一登录”页。

    a. 或者浏览到“标识”>“应用程序”>“企业应用程序”。 服务主体的状态显示在“证书过期状态”列中。

    b. 使用列表顶部的搜索框查找建议中列出的应用程序。

    c. 选择具有需要轮换的凭据的服务主体,然后从侧菜单中选择“单一登录”。

  5. 编辑“SAML 签名证书”部分,并按照提示添加新证书。

    编辑单一登录过程的屏幕截图。

  6. 添加证书后,请更改其属性,使证书处于活动状态,从而使其他证书处于非活动状态。

  7. 成功添加并激活证书后,请更新服务代码以确保它适用于新凭据,并且不会对客户产生负面影响。

  8. 使用 Microsoft Entra 登录日志验证该证书的密钥 ID 是否与最近上传的内容相匹配。

    • 转到“Microsoft Entra 登录日志”>“服务主体登录”。
    • 打开相关登录的详细信息,检查“客户端凭据类型”是否为“客户端密码”,以及“凭据密钥 ID”是否与你的凭据匹配。
  9. 验证新凭据后,导航回应用的“单一登录”区域并删除旧凭据。

使用 Microsoft Graph 续订即将过期的服务主体凭据

可以使用 Microsoft Graph 以编程方式续订即将过期的服务凭据。 如果要开始使用,请参阅如何将 Microsoft Graph 与 Microsoft Entra 建议配合使用

使用 Microsoft Graph 续订服务主体凭据时,需要运行查询来获取服务主体的密码凭据,添加新的密码凭据,然后删除旧凭据。

  1. 在 Microsoft Graph 中运行以下查询,获取服务主体的密码凭据:

    https://microsoftgraph.chinacloudapi.cn/v1.0/servicePrincipals/{id}?$select=passwordCredentials
    
    • 将 {id} 替换为服务主体 ID。
  2. 添加新的密码凭据。

  3. 删除旧/原始凭据。

已知的限制

  • 此建议标识即将过期的服务主体凭据。 如果凭据确实过期,则建议不会区分凭据自行过期或是否已解决。

  • 在完成建议之前过期的服务主体凭据将被系统标记为已完成。

  • 从列表中选择“受影响的资源”时,建议当前不会在服务主体中显示密码机密凭据。

  • 受影响的资源”列表中显示的 ID 适用于应用程序,而不是服务主体。

后续步骤